Настройка ldap аутентификации с сервера на на клиентах.

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
spmn
сержант
Сообщения: 175
Зарегистрирован: 2007-04-06 13:58:33

Настройка ldap аутентификации с сервера на на клиентах.

Непрочитанное сообщение spmn » 2007-08-07 17:22:54

Доброго времени!
Есть сервер с freeBSD 6.2
Не нем крутится ldap, есть немного пользователей.
Надо настроить на рабочей станции (Debian 4) ldap аутентификацию с сервера.

Может есть у кого - нибудь подобный опыт?

Я пытался сделать так:
http://www.debuntu.org/ldap-server-and- ... clients-p2,

но система аутентификации просто падает (на клиенте).

Може кто, что подскажет?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
elegorn
рядовой
Сообщения: 18
Зарегистрирован: 2007-08-02 10:35:28
Откуда: Москва
Контактная информация:

Re: Настройка ldap аутентификации с сервера на на клиента

Непрочитанное сообщение elegorn » 2007-08-09 9:02:46

попробуй это http://forum.ubuntu.ru/index.php?topic=4776.0
это для убунты, но она на базе дебиана.
я свои убунтовские клиенты настраивал так, правда на сервер 2003.
если понадобится могу выслать/опубликовать рабочие конфиги убунту
Вetter the Bad day on the Piste, then good day in the Office...

spmn
сержант
Сообщения: 175
Зарегистрирован: 2007-04-06 13:58:33

Re: Настройка ldap аутентификации с сервера на на клиента

Непрочитанное сообщение spmn » 2007-08-09 9:50:52

Кинь конфиги приямо в форум плиз :)

Аватара пользователя
elegorn
рядовой
Сообщения: 18
Зарегистрирован: 2007-08-02 10:35:28
Откуда: Москва
Контактная информация:

Re: Настройка ldap аутентификации с сервера на на клиента

Непрочитанное сообщение elegorn » 2007-08-09 10:52:43

выкладываю:
/etc/krb5.conf

Код: Выделить всё

[libdefaults]
	ticket_lifetime = 24000 
      	clock_skew = 300        
	default_realm = MOSLIFT.COM

# The following krb5.conf variables are only for MIT Kerberos.
	krb4_config = /etc/krb.conf
	krb4_realms = /etc/krb.realms
	kdc_timesync = 1
	ccache_type = 4
	forwardable = true
	proxiable = true

[realms]
	MOSLIFT.COM = {
		kdc = mailserver.moslift.com
		admin_server = mailserver.moslift.com
		default_domain = MOSLIFT.COM
	}
[domain_realm]
	.MOSLIFT.COM = MOSLIFT.COM
	MOSLIFT.COM = MOSLIFT.COM
[login]
	krb4_convert = true
	krb4_get_tickets = false
[logging]
	default = FILE:/var/log/krb5.log
/etc/nsswitch.conf

Код: Выделить всё

passwd:         compat winbind
group:          compat winbind
shadow:         compat
hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis
/etc/defaults/ntpdate - возможны варианты, главное время синхронизировать.

Код: Выделить всё

NTPOPTIONS="-u"
NTPSERVERS="mailserver.moslift.com"
/etc/pam.d/
common-account

Код: Выделить всё

#
# /etc/pam.d/common-account - authorization settings common to all services
#
account sufficient	pam_winbind.so
account required	pam_unix.so
common-auth

Код: Выделить всё

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u
auth sufficient pam_winbind.so use_first_pass
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required  pam_deny.so
common-password

Код: Выделить всё

#
# /etc/pam.d/common-password - password-related modules common to all services
#
password   required   pam_unix.so nullok obscure min=4 max=8 md5
common-session

Код: Выделить всё

#
# /etc/pam.d/common-session - session-related modules common to all services
#
session	required	pam_unix.so
session	optional	pam_foreground.so
session optional	pam_lastlog.so
session required 	pam_mkhomedir.so umask=0022 skel=/etc/skel
session required	pam_devperm.so
/etc/samba/smb.conf

Код: Выделить всё

[global]
workgroup = MOSLIFT
server string = %h server (Samba, Ubuntu)
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ads
password server = 192.168.1.12
realm = MOSLIFT.COM
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
socket options = TCP_NODELAY
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U # папка с именем рабочей группы должна быть создана вручную.
client use spnego = yes
winbind use default domain = yes
restrict anonymous = 0

wins support = no
[printers]
	comment = All Printers
	browseable = no
	path = /tmp
	printable = yes
	public = no
	writable = no
	create mode = 0700

[print$]
	comment = Printer Drivers
	path = /var/lib/samba/printers
	browseable = yes
	read only = yes
	guest ok = no
include = /etc/samba/smb.share.conf
вот вроде все
с этими конфигами доменный юзер входит в линух.
могут быть проблемы с правами на локальные устройства типа звук, сидюк, и т.д. смотрите /etc/logindevperm
спрашивайте, если смогу поясню, но сильно прошу не пинать, т.к. я в линухе полный нуб еще.
Вetter the Bad day on the Piste, then good day in the Office...

spmn
сержант
Сообщения: 175
Зарегистрирован: 2007-04-06 13:58:33

Re: Настройка ldap аутентификации с сервера на на клиента

Непрочитанное сообщение spmn » 2007-08-09 15:09:49

Не, это не то.
Конфиги конечно полезные, если линукс авторизировать в виндовом домене,
но у меня линукс авторизируется на unix сервере.

У тебя про лдап и слова нет :)

PS Вроде настроил все, оставлось только прописать правильные пам файлы, но что-то с этим туго ...

Линукс видит юзверей с unix и своих, но если пам поправить, то для всех говорит пермишен отвалишен :(

Аватара пользователя
elegorn
рядовой
Сообщения: 18
Зарегистрирован: 2007-08-02 10:35:28
Откуда: Москва
Контактная информация:

Re: Настройка ldap аутентификации с сервера на на клиента

Непрочитанное сообщение elegorn » 2007-08-09 15:25:18

ну а если попробовать так:

Код: Выделить всё

    auth        required      pam_env.so
    auth        sufficient    pam_unix.so likeauth nullok
    auth        sufficient    pam_ldap.so use_first_pass
    auth        required      pam_deny.so
    account     sufficient    pam_unix.so
    account     sufficient    pam_ldap.so
    password    sufficient   pam_unix.so nullok use_authtok md5shadow
    password    sufficient   pam_ldap.so use_authtok
    password    required     pam_deny.so
    session     required     pam_unix.so
    session     optional      pam_ldap.so
Вetter the Bad day on the Piste, then good day in the Office...

spmn
сержант
Сообщения: 175
Зарегистрирован: 2007-04-06 13:58:33

Re: Настройка ldap аутентификации с сервера на на клиента

Непрочитанное сообщение spmn » 2007-08-10 15:03:48

вот интересно, почему все ldap после unix pam ставят?
Надо тоже так попробовать ...

spmn
сержант
Сообщения: 175
Зарегистрирован: 2007-04-06 13:58:33

Re: Настройка ldap аутентификации с сервера на на клиента

Непрочитанное сообщение spmn » 2007-08-11 8:07:11

Голову сломал - пе пашет.
Пам уже как только не писал ...

Вот думаю, а может это проблема на freebsd машине (на которой лдап сервер)?


HEELP!!!

spmn
сержант
Сообщения: 175
Зарегистрирован: 2007-04-06 13:58:33

Re: Настройка ldap аутентификации с сервера на на клиента

Непрочитанное сообщение spmn » 2007-08-11 15:10:53

Попытался настроить все это дело на freebsd + freebsd

При логине получаю:

Код: Выделить всё

pam_ldap:error trying to bind as user "uid=user,ou=users,dc=PCDServer,dc=ru" (Invalid credentials)


Вроде пароль ввожу правильно. Откуда такая бяка может быть?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Настройка ldap аутентификации с сервера на на клиента

Непрочитанное сообщение Alex Keda » 2007-08-11 18:18:27

как user@domain.ru не пробовал?
Убей их всех! Бог потом рассортирует...

spmn
сержант
Сообщения: 175
Зарегистрирован: 2007-04-06 13:58:33

Re: Настройка ldap аутентификации с сервера на на клиента

Непрочитанное сообщение spmn » 2007-08-11 18:38:58

lissyara писал(а):как user@domain.ru не пробовал?
Тоже не пашет.

Но!
когда я говорю например так, на клиентской машине:

Код: Выделить всё

freebsd# ldapsearch -b "dc=PCDServer,dc=ru" "uid=test"
получаю так:

Код: Выделить всё

# extended LDIF
#
# LDAPv3
# base <dc=PCDServer,dc=ru> with scope subtree
# filter: uid=test
# requesting: ALL
#

# test, users, PCDServer.ru
dn: uid=test,ou=users,dc=PCDServer,dc=ru
objectClass: account
objectClass: posixAccount
cn: test
uid: test
uidNumber: 20007
gidNumber: 10002
homeDirectory: /home/test
gecos: test
description: User account
loginShell: /usr/local/bin/bash

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Что значит что сам ЛДАП работает исправно, а беда именно с биндом. Кстати, что это такое?

И еще, это нормально, что в результатах поиска не отображается строка с паролем. Может он ее не "видет"?