apt-get install slapd ldap-utils libnss-ldap ldapscripts samba smbclient smbfs samba-doc ldapdiff smbldap-tools
######################################################################
### slapd
cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz /etc/ldap/schema/samba.schema.gz
gunzip /etc/ldap/schema/samba.schema.gz
Создаем корневой объект каталога:
echo -e "dn: dc=xxx,dc=ru objectClass: dcObject objectClass: organization dc: xxx o: TEST Ltd" | ldapadd -x -D "cn=admin,dc=xxx,dc=ru" -w passwd -h localhost -p 389
Проверяем, что сервер работает:
ldapsearch -x -D «cn=admin,dc=xxx,dc=ru» -w passwd -s sub -b «dc=xxx,dc=ru» «(objectClass=*)»
# xxx.ru dn: dc=xxx,dc=ru objectClass: top objectClass: dcObject objectClass: organization o: xxx.ru dc: xxx # admin, xxx.ru dn: cn=admin,dc=xxx,dc=ru objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator userPassword:: e2NyeXB0fTlyQVh4SFBsNXV5L3M= # search result search: 2 result: 0 Success # numResponses: 3 # numEntries: 2
Настройка PAM и NSS для использования LDAP::::::::::
/etc/ldap/ldap.conf host 127.0.0.1 base dc=xxx,dc=ru rootbinddn cn=admin,dc=xxx,dc=ru port 389 scope sub pam_filter objectclass=posixAccount pam_login_attribute uid nss_base_passwd dc=xxx,dc=ru?sub?objectClass=posixAccount nss_base_shadow dc=xxx,dc=ru?sub?objectClass=posixAccount nss_base_group dc=xxx,dc=ru?sub?objectClass=posixGroup ssl no pam_password md5
/etc/pam.d/common-account
account sufficient pam_ldap.so
account required pam_unix.so try_first_pass
/etc/pam.d/common-auth
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass
/etc/pam.d/common-password
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass
echo «passwd» > /etc/ldap.secret
/etc/nsswitch.conf
passwd: files ldap
shadow: files ldap
group: files ldap
……
Тестируем путем создания пользователя:
echo «dn: cn=katya,dc=xxx,dc=ru
objectClass: nisMailAlias
objectClass: posixAccount
cn: katya
uid: katya
uidNumber: 2000
gidNumber: 2000
gecos: Katya
loginShell: /bin/bash
homeDirectory: /home/katya» | ldapadd -x -D «cn=admin,dc=xxx,dc=ru» -w passwd -h localhost -p 389
adding new entry "cn=katya,dc=xxx,dc=ru" ldap_add: Invalid syntax (21) additional info: objectClass: value #0 invalid per syntax
ЧТО Делаю не так??????
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Ты мне расскажи вот что:
Ты хочешь построить системную авторизацию через LDAP или запихнуть в LDAP базу пользователей Самбы?
Оригинальный сайт, на котором жили программный статьи на тему в настоящий момент, к сожалению, в дауне.
Резервной копии по данной тематике у меня нет.
Поэтому кратко-конспективно:
1. В некотором количестве, с заметной потерей актуальности (в номинации схемы Самбы — критично) бэкап представлен на opennet’е.
2. К сожалению, личное понимание в данной предметной области оцениваю как недостаточное.
Теперь конкретные замечания:
1. От перехода к LDAP суть отношения (каждому пользователю Самбы должен соответствовать системный пользователь, пусть и с шеллом /sbin/nologin) не меняется.
Возможность (да и целесообразность) объединения базы пользователей (системной и собственно Самбы) в единую — не определена.
2. И собственно по Самбе (эх, развратил тебя apt-get…):
В ныне недоступной программной статье (и, полагаю, в документации к Самбе) говорилось, что (ахтунг, цитируемая мной ниже информация устарела как минимум на год), что копированием куда следует схемы Самбы и прописыванием её в конфиге демона LDAP дело не ограничивается. На самом деле перед схемой samba необходимо в определённом порядке включить некоторое количество стандартных схем.
И устаревшая цитата из конфига моего сервера:
(вопрос прочей настройки LDAP пока не поднимаю)
После чего в базу LDAP (по крайней мере для случая FreeBSD, установки из портов и наличия всех необходимых пакетов) в базу LDAP пользователи Самбы заносятся как обычно, т.е. командой smbpasswd.
ЗЫ: И, в лучших традициях, личный вопрос: ты какой Веры придерживаешься? System V или BSD?
Кстати, если тебе интересно: добиться занесения записей командой ldapadd на этой итерации мне не удалось.
хочу настроить лдап как сервер,
затем прикрутить в squid, samba, postfix, …etc авторизацию через ldap,
а в дальнейшем мегрирование или синхронизацию c AD
во как! =))
это то то я поняла в хаутушке, разную документацию пробовала применить,
вот отрывок из последенй и вставила сюда
….пока промолчу на счет этого…
чем это?
предлагаешь собирать в ручную?
попробую включить 2 твои схемки
мое полетическое кредо — ВСЕГДА!
мой выбор спектрум и тр-дос!
=)))
…который, в общем случае, может не иметь никакого отношения к ОС.
Samba — понятно.
Почта — понятно.
Squid — неоднозначно. Подлежит обсуждению.
AD однозначно идёт лесом.
Обсуждение — исключительно с точки зрения функциональности (и степени востребованности оной).
В качестве исключения — возможность сопряжения с рабочими станциями Windows.
Знаешь, твоя ошибка в том, что ты хочешь всего и сразу.
PAM LDAP <> Samba authentification with LDAP!
И начинать здесь, хочешь ты того или нет, придётся с вникания в структуру OpenLDAP, сути схем, роли порядка включения схем /etc.
И зря.
Здесь ты категорически не права.
Здесь без собственного мнения относительно постановки и путей решения проблемы очень грустно.
Нет. Это я с точки зрения того, что простота установки позволяет объодиться вовсе без документации.
Что, в случае сопряжения модулей типа рассматриваемого тобой, пока возможно только в ручном режиме при активном использовании ресурсов собственного мозга.
См. первый абзац.
Объяви цели.
АНАРХИСТ’ик, а я настроила LDAP и PAM_LDAP !!!!!!!!!
бе бе бе, бе, бе, бе,
бе бе бе, бе, бе, бе,
бе бе бе, бе, бе, бе,
=))))))))))
зы. нашла хорошую доку, ну и несколько чесов на перенос под debian
теперь буду самбу прикручивать
я хочу всего, да это так
я как делаю, сначала разведка боем, то есть пробую сразу все настроить что мне в данный момент надо, это помогает найти подводные камни
а если не получилось что то, то все сначала, по пунктам!
>И зря.
>Здесь ты категорически не права.
>Здесь без собственного мнения относительно постановки и путей решения проблемы >очень грустно.
мысль просто не смогла сформулировать
>Что, в случае сопряжения модулей типа рассматриваемого тобой, пока возможно >только в ручном режиме при активном использовании ресурсов собственного мозга.
не совесм понятно (или я не вчитывалась?), разъясни поподробнее
Известный факт.
Ничего сложного там нет (особенно — в развёртывании сервера LDAP).
В своё время в данной номинации я срезался на вопросе: на фига.
А ссылку хорошо бы привести.
В идеале — так материал по ссылке. В переработанном виде.
Желаю тебе творческих успехов.
И не забудь рассказать как о том, в каком виде ныне поживает схема Самбы, так и про сопряжение базы пользователей с системной в LDAP.
;)
Эх, молодо-зелено… :)
Вот что значит: есть возможность колбаситься от души.
И нет необходимости заморачиваться вопросами плавной миграции фактически без перерывов в доступности сервисов.
А это в нашем деле — самое сложное :).
Грубо говоря:
Претендующий на полноту базис вопросов «Что делаем?».
С ответами на вопросы «Почему?» и «Как?».
В твоём случае это выглядит примерно так:
1. Структура пользователей. Сопряжение стркутур пользователей сервисов (доступ к общим файлам, принтеру, сервису электронной почты, proxy (хоть это — и отдельная песня)) и системных пользователей (пользователей не имеющих доступа к шеллу от которых пускаются демоны и системных пользователей допущенных к шеллу).
2. Поведение стандартных системных команд (например vipw) при переходе к авторизации через LDAP.
3. Собственно обоснование преимуществ авторизации через LDAP над классическим механизмом авторизации.
4. Для случая PROXY-server’а типа SQUID с авторизацией также ИМХО очень полезно рассмотреть механизм этой самой авторизации.
И помни, что настроить что-то более-менее работающее (в стандартном или близком к стандартному режиме) — это меньше половины пути к пониманию.
:)
>А ссылку хорошо бы привести:
D:\tmpdocs\Настройка сервера LDAP и PAM_LDAP.htm
давай ящик, закину
>Эх, молодо-зелено… :)
>Вот что значит: есть возможность колбаситься от души.
>И нет необходимости заморачиваться вопросами плавной миграции фактически без >перерывов в доступности сервисов.
виртуальные машины еще не кто не отменял ;)