nss_ldap (ldap + samba)

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
HRonik
мл. сержант
Сообщения: 130
Зарегистрирован: 2007-11-07 15:33:29

nss_ldap (ldap + samba)

Непрочитанное сообщение HRonik » 2007-12-26 14:08:33

Заметил косяк.
По статье http://www.lissyara.su/?id=1329 собран Самба + Лдап. Все работает :)
Пока не поднял авторизацию на Ослика...
Модуль Ldap Users and Group и скрипт squid_ldap_auth видят только машины если в конфиге nss прописано так:

Код: Выделить всё

nss_base_passwd ou=users,dc=l1523,dc=ru?one
nss_base_passwd ou=computers,dc=l1523,dc=ru?one
или видит только юзверей если так:

Код: Выделить всё

nss_base_passwd ou=computers,dc=l1523,dc=ru?one
nss_base_passwd ou=users,dc=l1523,dc=ru?one
Кто-нибудь сталкивался с этим и смог этот лаг обойти?
Спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

fr33man
сержант
Сообщения: 218
Зарегистрирован: 2006-09-04 17:41:27
Откуда: Москва
Контактная информация:

Re: nss_ldap (ldap + samba)

Непрочитанное сообщение fr33man » 2007-12-27 16:44:05

А нафига на шлюзе, этим модулям, видеть компы? Им же вроде только пользователи нужны....

А аутентификатор squid_ldap_auth вообще сам в базу лезет, минуя nss_ldap и тд. Ему нужно явно указать сервер с ldap и где в нем инфу искать.
WBR Озеров Василий aka fr33man

HRonik
мл. сержант
Сообщения: 130
Зарегистрирован: 2007-11-07 15:33:29

Re: nss_ldap (ldap + samba)

Непрочитанное сообщение HRonik » 2007-12-28 7:11:35

fr33man писал(а):А нафига на шлюзе, этим модулям, видеть компы? Им же вроде только пользователи нужны....

А аутентификатор squid_ldap_auth вообще сам в базу лезет, минуя nss_ldap и тд. Ему нужно явно указать сервер с ldap и где в нем инфу искать.
Я тоже так думал пока не нарвался на то что юзеров не видит а только компы. поменял строчки местами и наоборот стало... Не буду же я просто так тут тему создавать, если бы не проверил.
Поменяй в своей статье, что бы строка

Код: Выделить всё

nss_base_passwd ou=computers,dc=l1523,dc=ru?one
была перед строкой

Код: Выделить всё

nss_base_passwd ou=users,dc=l1523,dc=ru?one
если это действительно никакой роли не играет то не навредим, а с такими граблями как у меня зато никто не встретится....

fr33man
сержант
Сообщения: 218
Зарегистрирован: 2006-09-04 17:41:27
Откуда: Москва
Контактная информация:

Re: nss_ldap (ldap + samba)

Непрочитанное сообщение fr33man » 2007-12-28 20:59:53

Не понимаю, в чем проблема:

Код: Выделить всё

[fr33man@shield ~]$ grep nss_base_passwd /usr/local/etc/nss_ldap.conf
nss_base_passwd ou=users,dc=l1523,dc=ru?one
nss_base_passwd ou=computers,dc=l1523,dc=ru?one
[fr33man@shield ~]$ id fr33man
uid=5001(fr33man) gid=0(wheel) groups=0(wheel), 1000(Admin Group Samba), 5001(People)
[fr33man@shield ~]$ id veterok$
uid=10004(veterok$) gid=5002(computers) groups=5002(computers)
[fr33man@shield ~]$ grep fr33man /etc/passwd
[fr33man@shield ~]$ grep veterok$ /etc/passwd
[fr33man@shield ~]$
WBR Озеров Василий aka fr33man

fr33man
сержант
Сообщения: 218
Зарегистрирован: 2006-09-04 17:41:27
Откуда: Москва
Контактная информация:

Re: nss_ldap (ldap + samba)

Непрочитанное сообщение fr33man » 2007-12-28 21:01:26

Про эти модули, еще раз. Они не смотрят конфиги nss_ldap... Они напрямую лезут на ldap сервер и ищут там юзеров.
WBR Озеров Василий aka fr33man

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: nss_ldap (ldap + samba)

Непрочитанное сообщение princeps » 2007-12-28 22:48:00

fr33man писал(а): Они напрямую лезут на ldap сервер и ищут там юзеров.
Это теоретически. А на самом деле они имеют какое-то отношение к nss_ldap. У меня все тоже как у HRonik'а - меняешь строчки местами и все ок. Просто для меня это не критично, но все равно интересно разобраться - мало ли где вылезет.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

fr33man
сержант
Сообщения: 218
Зарегистрирован: 2006-09-04 17:41:27
Откуда: Москва
Контактная информация:

Re: nss_ldap (ldap + samba)

Непрочитанное сообщение fr33man » 2007-12-28 23:02:33

А Вы посмотрите на практике. Загляните в исходники squid_ldap_auth: /usr/ports/www/squid/work/squid-2.6.STABLE17/helpers/basic_auth/LDAP

И посмотрите, что там ничего такого, чтобы напоминало nss_ldap...
WBR Озеров Василий aka fr33man

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: nss_ldap (ldap + samba)

Непрочитанное сообщение princeps » 2007-12-28 23:18:20

fr33man писал(а):И посмотрите, что там ничего такого, чтобы напоминало nss_ldap...
Святая правда! Ничего общего там нет с nss_ldap. Но при смене местами строчек в конфиге реально работает по-другому! Хз откуда он на них выходит. Если б не видел своими глазами, не стал бы писать.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

fr33man
сержант
Сообщения: 218
Зарегистрирован: 2006-09-04 17:41:27
Откуда: Москва
Контактная информация:

Re: nss_ldap (ldap + samba)

Непрочитанное сообщение fr33man » 2007-12-28 23:26:41

Еще раз спрашиваю: нафига шлюзу видеть компы? Ему достаточно видеть пользователей
Удалите nss_ldap, если вы используете squid_ldap_auth. Они никак не связаны. Вы что-то не то и не там смотрите.
WBR Озеров Василий aka fr33man

HRonik
мл. сержант
Сообщения: 130
Зарегистрирован: 2007-11-07 15:33:29

Re: nss_ldap (ldap + samba)

Непрочитанное сообщение HRonik » 2007-12-29 7:34:39

fr33man писал(а):Еще раз спрашиваю: нафига шлюзу видеть компы? Ему достаточно видеть пользователей
Удалите nss_ldap, если вы используете squid_ldap_auth. Они никак не связаны. Вы что-то не то и не там смотрите.
Я же писал что так видит не только аутентификатор, но и ldap-account-manager! это то прога чисто с лдапом работает, не скажу как она работает :)Но аналогично squid_ldap_auth видит либо компы либо юзверей.
А команда

Код: Выделить всё

id  admin
.тоже прекрасно работает при любых настройках nss_ldap,

Код: Выделить всё

squid_ldap_group
кстате тоже видит и компы и юзверей...