Re: [FUG-BR] RES: Ldap no BSD
Boa tarde Caros, Somente hoje consegui restaurar o sistema e continuar meus teste com LDAP. Realmente, Klaus, com o pcnfsd só foi necessário configurar os arquivos: /usr/local/etc/openldap/ldap.conf # # LDAP Defaults # . . . Base cd=dominio, dc=br URI ldap://ip-sevidora . - /etc/nsswitch.conf group: files ldap passwd: files ldap /usr/local/etc/nss_ldap.conf e ldap.conf (devem ser os mesmos; conforme auxílio do Carlos Anderson Jardim) host ip-servidor base dc=dominio,dc=br uri ldap://ip-seridora também alterei o login no /etc/pam.d/login adicionando os respectivos apontamentos para o pam_ldap.so para todos iténs como sufficient (ainda conforme o Carlos, mas somente o login). e somente com estas configurações (bastante similar às do Linux) e o pcnfsd a máquina já busca o usuário na servidora. Agora só me falta montar os diretórios assim que o usuário logar. O KDE me deu o seguinte erro: Coud not start kstartupconfig. Contact administrator . Na verdade ele não encontra o home do usuário para montar. Anteriormente, na distro Linux, deixávamos no fstab as linhas de comando para montagem dos diretórios nfs na máquina. Acredito que pode haver outra forma de fazer isso sem auterar o fstab, não? Alguém saberia me dizer? Grato a todos Olavo Augusto Desculpem o flood, mas fiquei intrigado com a necessidade do nosso amigo aí =) Se queres autenticar o nfs no freebsd tem o pcnfsd, é um rpc server que autentica, inclusive está no ports... Em 20/02/08, Klaus Schneider [EMAIL PROTECTED] escreveu: Olavo, Pelo que entendi, tu quer que os usuários autentiquem em ldap no teu fedora, e acessem o /home através do nfs exportado do teu fodora e que o usuário usado para efetuar logon efetue a autenticação no nfs para dar permissão ao /home exportado. A solução é usar o nsswitch/ldap e kerberos/ldap para autenticar o nfs, e pelo que estou vendo, tua preocupação é com segurança, pois caso o usuário consiga acesso ao root local, ele também teria acesso a todos os outros diretórios dentro do home... O porém está no nfs do FreeBSD, e até onde sei, o FreeBSD não tem suporte a autenticação via kerberos no nfs, nem como client, nem como server. Em 20/02/08, [EMAIL PROTECTED] [EMAIL PROTECTED] escreveu: Bom dia a todos Agradeço a colaboração, mas infelizmente não funcionou com este passo a passo. Não consegui adicionar no arquivo de senhas a linha informada com o comando vipw, o sistema informou não ser um formato válido. Não entendi que a que arquivo de grupos se refere; estes dados referente as penultimas configurações. Alterei os seguintes arquivos do /etc/pam.d/ : gdm, imap, kde, login, passwd, xdm. O sshd, ftp, telnet, etc, são serviços que não uso e pretendo, após esta peleja, desbilitar, então nem mexi. O 'system' eu tive problemas ontem e não consegui recuperar as alteraçõse, necessitando restaurar o BSD e por isso preferi não mexer. Tirando estas duas excessões fiz tudo conforme ai está e não funcionou. Estou gostando muito do BSD mas é indispensável, para mim, que ele autentique na servidora de Arquivos-NFS/Ldap. A servidora é uma distro Linux/Fedora Core 5. Caso consiga implementar o BSD ele servirá a todos os cursos de graduação e pós em Engenharia da Universidade Federal de Minas Gerais, em um laboratório com 20 a 25 máquinas; o que é um bom insentivo à divulgação do BSD, que é temido como uma distro Unix terrível e pouco amistosa. Será??? :-) Grato pelo auxílio e posto os resultados assim que testar Olavo Augusto Creio que com esse passo a passo voce pode conseguir fazer funcionar seu ldap client!! Pacotes Instalados: pam_ldap-1.8.4 pam_mkhomedir-0.1 nss_ldap-1.257 openldap-client-2.3.40 /usr/local/etc/openldap/ldap.conf # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. BASEdc=dominio, dc=com, dc=br URI ldap://xxx.xxx.xxx.xxx #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never /etc/nssswitch.conf group: compat group_compat: ldap nis hosts: files dns networks: files passwd: compat passwd_compat: ldap nis shells: files /usr/local/etc/nss_ldap.conf e ldap.conf (devem ser os mesmos) host xxx.xxx.xxx.xxx base dc=dominio,dc=com,dc=br uri ldap://xxx.xxx.xxx.xxx/ rootbinddn
Re: [FUG-BR] RES: Ldap no BSD
se for repetida, me desculpem. é que eu não recebi quando enviei e penso que pode não haver ido. Boa tarde Caros, Somente hoje consegui restaurar o sistema e continuar meus teste com LDAP. Realmente, Klaus, com o pcnfsd só foi necessário configurar os arquivos: /usr/local/etc/openldap/ldap.conf # # LDAP Defaults # . . . Base cd=dominio, dc=br URI ldap://ip-sevidora . - /etc/nsswitch.conf group: files ldap passwd: files ldap /usr/local/etc/nss_ldap.conf e ldap.conf (devem ser os mesmos; conforme auxílio do Carlos Anderson Jardim) host ip-servidor base dc=dominio,dc=br uri ldap://ip-seridora também alterei o login no /etc/pam.d/login adicionando os respectivos apontamentos para o pam_ldap.so para todos iténs como sufficient (ainda conforme o Carlos, mas somente o login). e somente com estas configurações (bastante similar às do Linux) e o pcnfsd a máquina já busca o usuário na servidora. Agora só me falta montar os diretórios assim que o usuário logar. O KDE me deu o seguinte erro: Coud not start kstartupconfig. Contact administrator . Na verdade ele não encontra o home do usuário para montar. Anteriormente, na distro Linux, deixávamos no fstab as linhas de comando para montagem dos diretórios nfs na máquina. Acredito que pode haver outra forma de fazer isso sem auterar o fstab, não? Alguém saberia me dizer? Grato a todos Olavo Augusto Desculpem o flood, mas fiquei intrigado com a necessidade do nosso amigo aí =) Se queres autenticar o nfs no freebsd tem o pcnfsd, é um rpc server que autentica, inclusive está no ports... Em 20/02/08, Klaus Schneider [EMAIL PROTECTED] escreveu: Olavo, Pelo que entendi, tu quer que os usuários autentiquem em ldap no teu fedora, e acessem o /home através do nfs exportado do teu fodora e que o usuário usado para efetuar logon efetue a autenticação no nfs para dar permissão ao /home exportado. A solução é usar o nsswitch/ldap e kerberos/ldap para autenticar o nfs, e pelo que estou vendo, tua preocupação é com segurança, pois caso o usuário consiga acesso ao root local, ele também teria acesso a todos os outros diretórios dentro do home... O porém está no nfs do FreeBSD, e até onde sei, o FreeBSD não tem suporte a autenticação via kerberos no nfs, nem como client, nem como server. Em 20/02/08, [EMAIL PROTECTED] [EMAIL PROTECTED] escreveu: Bom dia a todos Agradeço a colaboração, mas infelizmente não funcionou com este passo a passo. Não consegui adicionar no arquivo de senhas a linha informada com o comando vipw, o sistema informou não ser um formato válido. Não entendi que a que arquivo de grupos se refere; estes dados referente as penultimas configurações. Alterei os seguintes arquivos do /etc/pam.d/ : gdm, imap, kde, login, passwd, xdm. O sshd, ftp, telnet, etc, são serviços que não uso e pretendo, após esta peleja, desbilitar, então nem mexi. O 'system' eu tive problemas ontem e não consegui recuperar as alteraçõse, necessitando restaurar o BSD e por isso preferi não mexer. Tirando estas duas excessões fiz tudo conforme ai está e não funcionou. Estou gostando muito do BSD mas é indispensável, para mim, que ele autentique na servidora de Arquivos-NFS/Ldap. A servidora é uma distro Linux/Fedora Core 5. Caso consiga implementar o BSD ele servirá a todos os cursos de graduação e pós em Engenharia da Universidade Federal de Minas Gerais, em um laboratório com 20 a 25 máquinas; o que é um bom insentivo à divulgação do BSD, que é temido como uma distro Unix terrível e pouco amistosa. Será??? :-) Grato pelo auxílio e posto os resultados assim que testar Olavo Augusto Creio que com esse passo a passo voce pode conseguir fazer funcionar seu ldap client!! Pacotes Instalados: pam_ldap-1.8.4 pam_mkhomedir-0.1 nss_ldap-1.257 openldap-client-2.3.40 pcnfsd /usr/local/etc/openldap/ldap.conf # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. BASEdc=dominio, dc=com, dc=br URI ldap://xxx.xxx.xxx.xxx #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never /etc/nssswitch.conf group: compat group_compat: ldap nis hosts: files dns networks: files passwd: compat passwd_compat: ldap nis shells: files /usr/local/etc/nss_ldap.conf e ldap.conf (devem ser os mesmos) host
Re: [FUG-BR] RES: Ldap no BSD
Bom dia Caro Klaus, Obrigado pela orientação. O que desejo é exatamente isso que disse, fazer o BSD autenticar em uma servidora-ldap de arquivos-nfs, montando o /home do usuário na máquina cliente. Vou tentar instalar o pcnfsd e refazer as configurações dos pacotes. Porém me apareceu mais um problema que talvez possam ajudar, ainda sobre o assunto. Todas as vezes que configuro a estação como descrito abaixo e preciso reiniciar a máquina, ela não reconhece mais nem o usuário local nem o root. Simplesmente ela avisa que ocorreu um erro crítico no KDM, isso no ambiente gráfico, e no modo texto ela nem sequer solicita senha, simplesmente solicita login após login. Teoricamente com estas configurações era para ela ainda permitir autenticação local, correto? o que pode estar errado? Devido a esse problema já tive que restarurar o sistema várias vezes e conseqüentemente o ports e etc.. É que ainda não estando familiarizado com o BSD e não consegui montar o HD(IDE-PATA) via cd instalação, tenho mais costume com o Fedora e urgência em fazer essa imagem funcionar. Grato a todos Olavo Augusto Desculpem o flood, mas fiquei intrigado com a necessidade do nosso amigo aí =) Se queres autenticar o nfs no freebsd tem o pcnfsd, é um rpc server que autentica, inclusive está no ports... Em 20/02/08, Klaus Schneider [EMAIL PROTECTED] escreveu: Olavo, Pelo que entendi, tu quer que os usuários autentiquem em ldap no teu fedora, e acessem o /home através do nfs exportado do teu fodora e que o usuário usado para efetuar logon efetue a autenticação no nfs para dar permissão ao /home exportado. A solução é usar o nsswitch/ldap e kerberos/ldap para autenticar o nfs, e pelo que estou vendo, tua preocupação é com segurança, pois caso o usuário consiga acesso ao root local, ele também teria acesso a todos os outros diretórios dentro do home... O porém está no nfs do FreeBSD, e até onde sei, o FreeBSD não tem suporte a autenticação via kerberos no nfs, nem como client, nem como server. Em 20/02/08, [EMAIL PROTECTED] [EMAIL PROTECTED] escreveu: Bom dia a todos Agradeço a colaboração, mas infelizmente não funcionou com este passo a passo. Não consegui adicionar no arquivo de senhas a linha informada com o comando vipw, o sistema informou não ser um formato válido. Não entendi que a que arquivo de grupos se refere; estes dados referente as penultimas configurações. Alterei os seguintes arquivos do /etc/pam.d/ : gdm, imap, kde, login, passwd, xdm. O sshd, ftp, telnet, etc, são serviços que não uso e pretendo, após esta peleja, desbilitar, então nem mexi. O 'system' eu tive problemas ontem e não consegui recuperar as alteraçõse, necessitando restaurar o BSD e por isso preferi não mexer. Tirando estas duas excessões fiz tudo conforme ai está e não funcionou. Estou gostando muito do BSD mas é indispensável, para mim, que ele autentique na servidora de Arquivos-NFS/Ldap. A servidora é uma distro Linux/Fedora Core 5. Caso consiga implementar o BSD ele servirá a todos os cursos de graduação e pós em Engenharia da Universidade Federal de Minas Gerais, em um laboratório com 20 a 25 máquinas; o que é um bom insentivo à divulgação do BSD, que é temido como uma distro Unix terrível e pouco amistosa. Será??? :-) Grato pelo auxílio e posto os resultados assim que testar Olavo Augusto Creio que com esse passo a passo voce pode conseguir fazer funcionar seu ldap client!! Pacotes Instalados: pam_ldap-1.8.4 pam_mkhomedir-0.1 nss_ldap-1.257 openldap-client-2.3.40 /usr/local/etc/openldap/ldap.conf # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. BASEdc=dominio, dc=com, dc=br URI ldap://xxx.xxx.xxx.xxx #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never /etc/nssswitch.conf group: compat group_compat: ldap nis hosts: files dns networks: files passwd: compat passwd_compat: ldap nis shells: files /usr/local/etc/nss_ldap.conf e ldap.conf (devem ser os mesmos) host xxx.xxx.xxx.xxx base dc=dominio,dc=com,dc=br uri ldap://xxx.xxx.xxx.xxx/ rootbinddn cn=Admin,dc=dominio,dc=com,dc=br scope sub bind_policy soft pam_filter objectclass=posixAccount pam_login_attribute uid nss_base_passwd ou=Usuarios,dc=dominio,dc=com,dc=br?one nss_base_shadow ou=Usuarios,dc=dominio,dc=com,dc=br?one nss_base_groupou=Grupos,dc=dominio,dc=com,dc=br?one - Adicionar no arquivo de senhas (atraves do comando vipw) +:*: Adicionar no arquivo de grupos: +:*::
Re: [FUG-BR] RES: Ldap no BSD
Olavo, Pelo que entendi, tu quer que os usuários autentiquem em ldap no teu fedora, e acessem o /home através do nfs exportado do teu fodora e que o usuário usado para efetuar logon efetue a autenticação no nfs para dar permissão ao /home exportado. A solução é usar o nsswitch/ldap e kerberos/ldap para autenticar o nfs, e pelo que estou vendo, tua preocupação é com segurança, pois caso o usuário consiga acesso ao root local, ele também teria acesso a todos os outros diretórios dentro do home... O porém está no nfs do FreeBSD, e até onde sei, o FreeBSD não tem suporte a autenticação via kerberos no nfs, nem como client, nem como server. Em 20/02/08, [EMAIL PROTECTED] [EMAIL PROTECTED] escreveu: Bom dia a todos Agradeço a colaboração, mas infelizmente não funcionou com este passo a passo. Não consegui adicionar no arquivo de senhas a linha informada com o comando vipw, o sistema informou não ser um formato válido. Não entendi que a que arquivo de grupos se refere; estes dados referente as penultimas configurações. Alterei os seguintes arquivos do /etc/pam.d/ : gdm, imap, kde, login, passwd, xdm. O sshd, ftp, telnet, etc, são serviços que não uso e pretendo, após esta peleja, desbilitar, então nem mexi. O 'system' eu tive problemas ontem e não consegui recuperar as alteraçõse, necessitando restaurar o BSD e por isso preferi não mexer. Tirando estas duas excessões fiz tudo conforme ai está e não funcionou. Estou gostando muito do BSD mas é indispensável, para mim, que ele autentique na servidora de Arquivos-NFS/Ldap. A servidora é uma distro Linux/Fedora Core 5. Caso consiga implementar o BSD ele servirá a todos os cursos de graduação e pós em Engenharia da Universidade Federal de Minas Gerais, em um laboratório com 20 a 25 máquinas; o que é um bom insentivo à divulgação do BSD, que é temido como uma distro Unix terrível e pouco amistosa. Será??? :-) Grato pelo auxílio e posto os resultados assim que testar Olavo Augusto Creio que com esse passo a passo voce pode conseguir fazer funcionar seu ldap client!! Pacotes Instalados: pam_ldap-1.8.4 pam_mkhomedir-0.1 nss_ldap-1.257 openldap-client-2.3.40 /usr/local/etc/openldap/ldap.conf # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. BASEdc=dominio, dc=com, dc=br URI ldap://xxx.xxx.xxx.xxx #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never /etc/nssswitch.conf group: compat group_compat: ldap nis hosts: files dns networks: files passwd: compat passwd_compat: ldap nis shells: files /usr/local/etc/nss_ldap.conf e ldap.conf (devem ser os mesmos) host xxx.xxx.xxx.xxx base dc=dominio,dc=com,dc=br uri ldap://xxx.xxx.xxx.xxx/ rootbinddn cn=Admin,dc=dominio,dc=com,dc=br scope sub bind_policy soft pam_filter objectclass=posixAccount pam_login_attribute uid nss_base_passwd ou=Usuarios,dc=dominio,dc=com,dc=br?one nss_base_shadow ou=Usuarios,dc=dominio,dc=com,dc=br?one nss_base_groupou=Grupos,dc=dominio,dc=com,dc=br?one - Adicionar no arquivo de senhas (atraves do comando vipw) +:*: Adicionar no arquivo de grupos: +:*:: - Alterar os arquivos sshd, ftp, system (dentre outros) dentro do /etc/pam.d/ adicionando os respectivos apontamentos para o pam_ldap.so, tanto para auth, account, session, password, etc... Não esquecendo que tem que ser sufficient !!! Somente com isso deve funcionar. Atenciosamente, Carlos Anderson Jardim Tecnologia da Informacao - Redes e Internet Santa Casa de São José dos Campos Linux User #403727 FUG-BR User #381 Tel.: (12) 3925-1873 - 3925-1925 -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de [EMAIL PROTECTED] Enviada em: terça-feira, 19 de fevereiro de 2008 10:37 Para: Lista Brasileira de Discussão sobre FreeBSD Assunto: Re: [FUG-BR] Ldap no BSD Bom dia Minha dificultada é configurar um cliente e não um servidor. Não estou conseguindo fazer com que a estação encontre a servidora e autentique o login criando o sistema de arquivos deste. Configurei os arquivos nsswitch.conf - ldap.conf na estação e não acessa. Se digito o comando: #id teste(teste é um usuário para teste) -ele retorna: #uid=(teste) gid=1000(grad) groups=1000(grad) Como se estivesse enxergando a servidora, mas o login do ambiente gráfico dá falha. 2008/2/18 [EMAIL PROTECTED]: Sinceramente, não consegui ver nada, exceto duas linhas de configuração do radius para ldap. Desculpe minha ignorância, mas aonde ha uma
Re: [FUG-BR] RES: Ldap no BSD
Desculpem o flood, mas fiquei intrigado com a necessidade do nosso amigo aí =) Se queres autenticar o nfs no freebsd tem o pcnfsd, é um rpc server que autentica, inclusive está no ports... Em 20/02/08, Klaus Schneider [EMAIL PROTECTED] escreveu: Olavo, Pelo que entendi, tu quer que os usuários autentiquem em ldap no teu fedora, e acessem o /home através do nfs exportado do teu fodora e que o usuário usado para efetuar logon efetue a autenticação no nfs para dar permissão ao /home exportado. A solução é usar o nsswitch/ldap e kerberos/ldap para autenticar o nfs, e pelo que estou vendo, tua preocupação é com segurança, pois caso o usuário consiga acesso ao root local, ele também teria acesso a todos os outros diretórios dentro do home... O porém está no nfs do FreeBSD, e até onde sei, o FreeBSD não tem suporte a autenticação via kerberos no nfs, nem como client, nem como server. Em 20/02/08, [EMAIL PROTECTED] [EMAIL PROTECTED] escreveu: Bom dia a todos Agradeço a colaboração, mas infelizmente não funcionou com este passo a passo. Não consegui adicionar no arquivo de senhas a linha informada com o comando vipw, o sistema informou não ser um formato válido. Não entendi que a que arquivo de grupos se refere; estes dados referente as penultimas configurações. Alterei os seguintes arquivos do /etc/pam.d/ : gdm, imap, kde, login, passwd, xdm. O sshd, ftp, telnet, etc, são serviços que não uso e pretendo, após esta peleja, desbilitar, então nem mexi. O 'system' eu tive problemas ontem e não consegui recuperar as alteraçõse, necessitando restaurar o BSD e por isso preferi não mexer. Tirando estas duas excessões fiz tudo conforme ai está e não funcionou. Estou gostando muito do BSD mas é indispensável, para mim, que ele autentique na servidora de Arquivos-NFS/Ldap. A servidora é uma distro Linux/Fedora Core 5. Caso consiga implementar o BSD ele servirá a todos os cursos de graduação e pós em Engenharia da Universidade Federal de Minas Gerais, em um laboratório com 20 a 25 máquinas; o que é um bom insentivo à divulgação do BSD, que é temido como uma distro Unix terrível e pouco amistosa. Será??? :-) Grato pelo auxílio e posto os resultados assim que testar Olavo Augusto Creio que com esse passo a passo voce pode conseguir fazer funcionar seu ldap client!! Pacotes Instalados: pam_ldap-1.8.4 pam_mkhomedir-0.1 nss_ldap-1.257 openldap-client-2.3.40 /usr/local/etc/openldap/ldap.conf # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. BASEdc=dominio, dc=com, dc=br URI ldap://xxx.xxx.xxx.xxx #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never /etc/nssswitch.conf group: compat group_compat: ldap nis hosts: files dns networks: files passwd: compat passwd_compat: ldap nis shells: files /usr/local/etc/nss_ldap.conf e ldap.conf (devem ser os mesmos) host xxx.xxx.xxx.xxx base dc=dominio,dc=com,dc=br uri ldap://xxx.xxx.xxx.xxx/ rootbinddn cn=Admin,dc=dominio,dc=com,dc=br scope sub bind_policy soft pam_filter objectclass=posixAccount pam_login_attribute uid nss_base_passwd ou=Usuarios,dc=dominio,dc=com,dc=br?one nss_base_shadow ou=Usuarios,dc=dominio,dc=com,dc=br?one nss_base_groupou=Grupos,dc=dominio,dc=com,dc=br?one - Adicionar no arquivo de senhas (atraves do comando vipw) +:*: Adicionar no arquivo de grupos: +:*:: - Alterar os arquivos sshd, ftp, system (dentre outros) dentro do /etc/pam.d/ adicionando os respectivos apontamentos para o pam_ldap.so, tanto para auth, account, session, password, etc... Não esquecendo que tem que ser sufficient !!! Somente com isso deve funcionar. Atenciosamente, Carlos Anderson Jardim Tecnologia da Informacao - Redes e Internet Santa Casa de São José dos Campos Linux User #403727 FUG-BR User #381 Tel.: (12) 3925-1873 - 3925-1925 -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de [EMAIL PROTECTED] Enviada em: terça-feira, 19 de fevereiro de 2008 10:37 Para: Lista Brasileira de Discussão sobre FreeBSD Assunto: Re: [FUG-BR] Ldap no BSD Bom dia Minha dificultada é configurar um cliente e não um servidor. Não estou conseguindo fazer com que a estação encontre a servidora e autentique o login criando o sistema de arquivos deste. Configurei os arquivos nsswitch.conf - ldap.conf na estação e não acessa. Se