nss_ldap (ldap + samba)

HRonik · Непрочитанное сообщение **HRonik** » 2007-12-26 14:08:33

Заметил косяк.
По статье http://www.lissyara.su/?id=1329 собран Самба + Лдап. Все работает

Пока не поднял авторизацию на Ослика...
Модуль Ldap Users and Group и скрипт squid_ldap_auth видят только машины если в конфиге nss прописано так:

Код: Выделить всё

nss_base_passwd ou=users,dc=l1523,dc=ru?one
nss_base_passwd ou=computers,dc=l1523,dc=ru?one

или видит только юзверей если так:

Код: Выделить всё

nss_base_passwd ou=computers,dc=l1523,dc=ru?one
nss_base_passwd ou=users,dc=l1523,dc=ru?one

Кто-нибудь сталкивался с этим и смог этот лаг обойти?
Спасибо.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

fr33man · Непрочитанное сообщение **fr33man** » 2007-12-27 16:44:05

А нафига на шлюзе, этим модулям, видеть компы? Им же вроде только пользователи нужны....

А аутентификатор squid_ldap_auth вообще сам в базу лезет, минуя nss_ldap и тд. Ему нужно явно указать сервер с ldap и где в нем инфу искать.

HRonik · Непрочитанное сообщение **HRonik** » 2007-12-28 7:11:35

fr33man писал(а):А нафига на шлюзе, этим модулям, видеть компы? Им же вроде только пользователи нужны....

А аутентификатор squid_ldap_auth вообще сам в базу лезет, минуя nss_ldap и тд. Ему нужно явно указать сервер с ldap и где в нем инфу искать.

Я тоже так думал пока не нарвался на то что юзеров не видит а только компы. поменял строчки местами и наоборот стало... Не буду же я просто так тут тему создавать, если бы не проверил.
Поменяй в своей статье, что бы строка

Код: Выделить всё

nss_base_passwd ou=computers,dc=l1523,dc=ru?one

была перед строкой

Код: Выделить всё

nss_base_passwd ou=users,dc=l1523,dc=ru?one

если это действительно никакой роли не играет то не навредим, а с такими граблями как у меня зато никто не встретится....

fr33man · Непрочитанное сообщение **fr33man** » 2007-12-28 20:59:53

Не понимаю, в чем проблема:

Код: Выделить всё

[fr33man@shield ~]$ grep nss_base_passwd /usr/local/etc/nss_ldap.conf
nss_base_passwd ou=users,dc=l1523,dc=ru?one
nss_base_passwd ou=computers,dc=l1523,dc=ru?one
[fr33man@shield ~]$ id fr33man
uid=5001(fr33man) gid=0(wheel) groups=0(wheel), 1000(Admin Group Samba), 5001(People)
[fr33man@shield ~]$ id veterok$
uid=10004(veterok$) gid=5002(computers) groups=5002(computers)
[fr33man@shield ~]$ grep fr33man /etc/passwd
[fr33man@shield ~]$ grep veterok$ /etc/passwd
[fr33man@shield ~]$

fr33man · Непрочитанное сообщение **fr33man** » 2007-12-28 21:01:26

Про эти модули, еще раз. Они не смотрят конфиги nss_ldap... Они напрямую лезут на ldap сервер и ищут там юзеров.

princeps

fr33man писал(а): Они напрямую лезут на ldap сервер и ищут там юзеров.

Это теоретически. А на самом деле они имеют какое-то отношение к nss_ldap. У меня все тоже как у HRonik'а - меняешь строчки местами и все ок. Просто для меня это не критично, но все равно интересно разобраться - мало ли где вылезет.

fr33man · Непрочитанное сообщение **fr33man** » 2007-12-28 23:02:33

А Вы посмотрите на практике. Загляните в исходники squid_ldap_auth: /usr/ports/www/squid/work/squid-2.6.STABLE17/helpers/basic_auth/LDAP

И посмотрите, что там ничего такого, чтобы напоминало nss_ldap...

princeps

fr33man писал(а):И посмотрите, что там ничего такого, чтобы напоминало nss_ldap...

Святая правда! Ничего общего там нет с nss_ldap. Но при смене местами строчек в конфиге реально работает по-другому! Хз откуда он на них выходит. Если б не видел своими глазами, не стал бы писать.

fr33man · Непрочитанное сообщение **fr33man** » 2007-12-28 23:26:41

Еще раз спрашиваю: нафига шлюзу видеть компы? Ему достаточно видеть пользователей
Удалите nss_ldap, если вы используете squid_ldap_auth. Они никак не связаны. Вы что-то не то и не там смотрите.

HRonik · Непрочитанное сообщение **HRonik** » 2007-12-29 7:34:39

fr33man писал(а):Еще раз спрашиваю: нафига шлюзу видеть компы? Ему достаточно видеть пользователей
Удалите nss_ldap, если вы используете squid_ldap_auth. Они никак не связаны. Вы что-то не то и не там смотрите.

Я же писал что так видит не только аутентификатор, но и ldap-account-manager! это то прога чисто с лдапом работает, не скажу как она работает

Но аналогично squid_ldap_auth видит либо компы либо юзверей.
А команда

Код: Выделить всё

id  admin

.тоже прекрасно работает при любых настройках nss_ldap,

Код: Выделить всё

squid_ldap_group

кстате тоже видит и компы и юзверей...

forum.lissyara.su

nss_ldap (ldap + samba)

nss_ldap (ldap + samba)

Услуги хостинговой компании Host-Food.ru

Re: nss_ldap (ldap + samba)

Re: nss_ldap (ldap + samba)

Re: nss_ldap (ldap + samba)

Re: nss_ldap (ldap + samba)

Re: nss_ldap (ldap + samba)

Re: nss_ldap (ldap + samba)

Re: nss_ldap (ldap + samba)

Re: nss_ldap (ldap + samba)

Re: nss_ldap (ldap + samba)