Настройка ldap аутентификации с сервера на на клиентах.
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- сержант
- Сообщения: 175
- Зарегистрирован: 2007-04-06 13:58:33
Настройка ldap аутентификации с сервера на на клиентах.
Доброго времени!
Есть сервер с freeBSD 6.2
Не нем крутится ldap, есть немного пользователей.
Надо настроить на рабочей станции (Debian 4) ldap аутентификацию с сервера.
Может есть у кого - нибудь подобный опыт?
Я пытался сделать так:
http://www.debuntu.org/ldap-server-and- ... clients-p2,
но система аутентификации просто падает (на клиенте).
Може кто, что подскажет?
Есть сервер с freeBSD 6.2
Не нем крутится ldap, есть немного пользователей.
Надо настроить на рабочей станции (Debian 4) ldap аутентификацию с сервера.
Может есть у кого - нибудь подобный опыт?
Я пытался сделать так:
http://www.debuntu.org/ldap-server-and- ... clients-p2,
но система аутентификации просто падает (на клиенте).
Може кто, что подскажет?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- elegorn
- рядовой
- Сообщения: 18
- Зарегистрирован: 2007-08-02 10:35:28
- Откуда: Москва
- Контактная информация:
Re: Настройка ldap аутентификации с сервера на на клиента
попробуй это http://forum.ubuntu.ru/index.php?topic=4776.0
это для убунты, но она на базе дебиана.
я свои убунтовские клиенты настраивал так, правда на сервер 2003.
если понадобится могу выслать/опубликовать рабочие конфиги убунту
это для убунты, но она на базе дебиана.
я свои убунтовские клиенты настраивал так, правда на сервер 2003.
если понадобится могу выслать/опубликовать рабочие конфиги убунту
Вetter the Bad day on the Piste, then good day in the Office...
-
- сержант
- Сообщения: 175
- Зарегистрирован: 2007-04-06 13:58:33
Re: Настройка ldap аутентификации с сервера на на клиента
Кинь конфиги приямо в форум плиз
- elegorn
- рядовой
- Сообщения: 18
- Зарегистрирован: 2007-08-02 10:35:28
- Откуда: Москва
- Контактная информация:
Re: Настройка ldap аутентификации с сервера на на клиента
выкладываю:
/etc/krb5.conf
/etc/nsswitch.conf
/etc/defaults/ntpdate - возможны варианты, главное время синхронизировать.
/etc/pam.d/
common-account
common-auth
common-password
common-session
/etc/samba/smb.conf
вот вроде все
с этими конфигами доменный юзер входит в линух.
могут быть проблемы с правами на локальные устройства типа звук, сидюк, и т.д. смотрите /etc/logindevperm
спрашивайте, если смогу поясню, но сильно прошу не пинать, т.к. я в линухе полный нуб еще.
/etc/krb5.conf
Код: Выделить всё
[libdefaults]
ticket_lifetime = 24000
clock_skew = 300
default_realm = MOSLIFT.COM
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
MOSLIFT.COM = {
kdc = mailserver.moslift.com
admin_server = mailserver.moslift.com
default_domain = MOSLIFT.COM
}
[domain_realm]
.MOSLIFT.COM = MOSLIFT.COM
MOSLIFT.COM = MOSLIFT.COM
[login]
krb4_convert = true
krb4_get_tickets = false
[logging]
default = FILE:/var/log/krb5.log
Код: Выделить всё
passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
Код: Выделить всё
NTPOPTIONS="-u"
NTPSERVERS="mailserver.moslift.com"
common-account
Код: Выделить всё
#
# /etc/pam.d/common-account - authorization settings common to all services
#
account sufficient pam_winbind.so
account required pam_unix.so
Код: Выделить всё
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u
auth sufficient pam_winbind.so use_first_pass
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required pam_deny.so
Код: Выделить всё
#
# /etc/pam.d/common-password - password-related modules common to all services
#
password required pam_unix.so nullok obscure min=4 max=8 md5
Код: Выделить всё
#
# /etc/pam.d/common-session - session-related modules common to all services
#
session required pam_unix.so
session optional pam_foreground.so
session optional pam_lastlog.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
session required pam_devperm.so
Код: Выделить всё
[global]
workgroup = MOSLIFT
server string = %h server (Samba, Ubuntu)
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ads
password server = 192.168.1.12
realm = MOSLIFT.COM
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
socket options = TCP_NODELAY
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U # папка с именем рабочей группы должна быть создана вручную.
client use spnego = yes
winbind use default domain = yes
restrict anonymous = 0
wins support = no
[printers]
comment = All Printers
browseable = no
path = /tmp
printable = yes
public = no
writable = no
create mode = 0700
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no
include = /etc/samba/smb.share.conf
с этими конфигами доменный юзер входит в линух.
могут быть проблемы с правами на локальные устройства типа звук, сидюк, и т.д. смотрите /etc/logindevperm
спрашивайте, если смогу поясню, но сильно прошу не пинать, т.к. я в линухе полный нуб еще.
Вetter the Bad day on the Piste, then good day in the Office...
-
- сержант
- Сообщения: 175
- Зарегистрирован: 2007-04-06 13:58:33
Re: Настройка ldap аутентификации с сервера на на клиента
Не, это не то.
Конфиги конечно полезные, если линукс авторизировать в виндовом домене,
но у меня линукс авторизируется на unix сервере.
У тебя про лдап и слова нет
PS Вроде настроил все, оставлось только прописать правильные пам файлы, но что-то с этим туго ...
Линукс видит юзверей с unix и своих, но если пам поправить, то для всех говорит пермишен отвалишен
Конфиги конечно полезные, если линукс авторизировать в виндовом домене,
но у меня линукс авторизируется на unix сервере.
У тебя про лдап и слова нет
PS Вроде настроил все, оставлось только прописать правильные пам файлы, но что-то с этим туго ...
Линукс видит юзверей с unix и своих, но если пам поправить, то для всех говорит пермишен отвалишен
- elegorn
- рядовой
- Сообщения: 18
- Зарегистрирован: 2007-08-02 10:35:28
- Откуда: Москва
- Контактная информация:
Re: Настройка ldap аутентификации с сервера на на клиента
ну а если попробовать так:
Код: Выделить всё
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account sufficient pam_ldap.so
password sufficient pam_unix.so nullok use_authtok md5shadow
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session required pam_unix.so
session optional pam_ldap.so
Вetter the Bad day on the Piste, then good day in the Office...
-
- сержант
- Сообщения: 175
- Зарегистрирован: 2007-04-06 13:58:33
Re: Настройка ldap аутентификации с сервера на на клиента
вот интересно, почему все ldap после unix pam ставят?
Надо тоже так попробовать ...
Надо тоже так попробовать ...
-
- сержант
- Сообщения: 175
- Зарегистрирован: 2007-04-06 13:58:33
Re: Настройка ldap аутентификации с сервера на на клиента
Голову сломал - пе пашет.
Пам уже как только не писал ...
Вот думаю, а может это проблема на freebsd машине (на которой лдап сервер)?
HEELP!!!
Пам уже как только не писал ...
Вот думаю, а может это проблема на freebsd машине (на которой лдап сервер)?
HEELP!!!
-
- сержант
- Сообщения: 175
- Зарегистрирован: 2007-04-06 13:58:33
Re: Настройка ldap аутентификации с сервера на на клиента
Попытался настроить все это дело на freebsd + freebsd
При логине получаю:
Вроде пароль ввожу правильно. Откуда такая бяка может быть?
При логине получаю:
Код: Выделить всё
pam_ldap:error trying to bind as user "uid=user,ou=users,dc=PCDServer,dc=ru" (Invalid credentials)
Вроде пароль ввожу правильно. Откуда такая бяка может быть?
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Настройка ldap аутентификации с сервера на на клиента
как user@domain.ru не пробовал?
Убей их всех! Бог потом рассортирует...
-
- сержант
- Сообщения: 175
- Зарегистрирован: 2007-04-06 13:58:33
Re: Настройка ldap аутентификации с сервера на на клиента
Тоже не пашет.lissyara писал(а):как user@domain.ru не пробовал?
Но!
когда я говорю например так, на клиентской машине:
Код: Выделить всё
freebsd# ldapsearch -b "dc=PCDServer,dc=ru" "uid=test"
Код: Выделить всё
# extended LDIF
#
# LDAPv3
# base <dc=PCDServer,dc=ru> with scope subtree
# filter: uid=test
# requesting: ALL
#
# test, users, PCDServer.ru
dn: uid=test,ou=users,dc=PCDServer,dc=ru
objectClass: account
objectClass: posixAccount
cn: test
uid: test
uidNumber: 20007
gidNumber: 10002
homeDirectory: /home/test
gecos: test
description: User account
loginShell: /usr/local/bin/bash
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
Что значит что сам ЛДАП работает исправно, а беда именно с биндом. Кстати, что это такое?
И еще, это нормально, что в результатах поиска не отображается строка с паролем. Может он ее не "видет"?