Страница 1 из 1
nss_ldap (ldap + samba)
Добавлено: 2007-12-26 14:08:33
HRonik
Заметил косяк.
По статье
http://www.lissyara.su/?id=1329 собран Самба + Лдап. Все работает
Пока не поднял авторизацию на Ослика...
Модуль Ldap Users and Group и скрипт squid_ldap_auth видят только машины если в конфиге nss прописано так:
Код: Выделить всё
nss_base_passwd ou=users,dc=l1523,dc=ru?one
nss_base_passwd ou=computers,dc=l1523,dc=ru?one
или видит только юзверей если так:
Код: Выделить всё
nss_base_passwd ou=computers,dc=l1523,dc=ru?one
nss_base_passwd ou=users,dc=l1523,dc=ru?one
Кто-нибудь сталкивался с этим и смог этот лаг обойти?
Спасибо.
Re: nss_ldap (ldap + samba)
Добавлено: 2007-12-27 16:44:05
fr33man
А нафига на шлюзе, этим модулям, видеть компы? Им же вроде только пользователи нужны....
А аутентификатор squid_ldap_auth вообще сам в базу лезет, минуя nss_ldap и тд. Ему нужно явно указать сервер с ldap и где в нем инфу искать.
Re: nss_ldap (ldap + samba)
Добавлено: 2007-12-28 7:11:35
HRonik
fr33man писал(а):А нафига на шлюзе, этим модулям, видеть компы? Им же вроде только пользователи нужны....
А аутентификатор squid_ldap_auth вообще сам в базу лезет, минуя nss_ldap и тд. Ему нужно явно указать сервер с ldap и где в нем инфу искать.
Я тоже так думал пока не нарвался на то что юзеров не видит а только компы. поменял строчки местами и наоборот стало... Не буду же я просто так тут тему создавать, если бы не проверил.
Поменяй в своей статье, что бы строка
Код: Выделить всё
nss_base_passwd ou=computers,dc=l1523,dc=ru?one
была перед строкой
Код: Выделить всё
nss_base_passwd ou=users,dc=l1523,dc=ru?one
если это действительно никакой роли не играет то не навредим, а с такими граблями как у меня зато никто не встретится....
Re: nss_ldap (ldap + samba)
Добавлено: 2007-12-28 20:59:53
fr33man
Не понимаю, в чем проблема:
Код: Выделить всё
[fr33man@shield ~]$ grep nss_base_passwd /usr/local/etc/nss_ldap.conf
nss_base_passwd ou=users,dc=l1523,dc=ru?one
nss_base_passwd ou=computers,dc=l1523,dc=ru?one
[fr33man@shield ~]$ id fr33man
uid=5001(fr33man) gid=0(wheel) groups=0(wheel), 1000(Admin Group Samba), 5001(People)
[fr33man@shield ~]$ id veterok$
uid=10004(veterok$) gid=5002(computers) groups=5002(computers)
[fr33man@shield ~]$ grep fr33man /etc/passwd
[fr33man@shield ~]$ grep veterok$ /etc/passwd
[fr33man@shield ~]$
Re: nss_ldap (ldap + samba)
Добавлено: 2007-12-28 21:01:26
fr33man
Про эти модули, еще раз. Они не смотрят конфиги nss_ldap... Они напрямую лезут на ldap сервер и ищут там юзеров.
Re: nss_ldap (ldap + samba)
Добавлено: 2007-12-28 22:48:00
princeps
fr33man писал(а): Они напрямую лезут на ldap сервер и ищут там юзеров.
Это теоретически. А на самом деле они имеют какое-то отношение к nss_ldap. У меня все тоже как у HRonik'а - меняешь строчки местами и все ок. Просто для меня это не критично, но все равно интересно разобраться - мало ли где вылезет.
Re: nss_ldap (ldap + samba)
Добавлено: 2007-12-28 23:02:33
fr33man
А Вы посмотрите на практике. Загляните в исходники squid_ldap_auth: /usr/ports/www/squid/work/squid-2.6.STABLE17/helpers/basic_auth/LDAP
И посмотрите, что там ничего такого, чтобы напоминало nss_ldap...
Re: nss_ldap (ldap + samba)
Добавлено: 2007-12-28 23:18:20
princeps
fr33man писал(а):И посмотрите, что там ничего такого, чтобы напоминало nss_ldap...
Святая правда! Ничего общего там нет с nss_ldap. Но при смене местами строчек в конфиге реально работает по-другому! Хз откуда он на них выходит. Если б не видел своими глазами, не стал бы писать.
Re: nss_ldap (ldap + samba)
Добавлено: 2007-12-28 23:26:41
fr33man
Еще раз спрашиваю: нафига шлюзу видеть компы? Ему достаточно видеть пользователей
Удалите nss_ldap, если вы используете squid_ldap_auth. Они никак не связаны. Вы что-то не то и не там смотрите.
Re: nss_ldap (ldap + samba)
Добавлено: 2007-12-29 7:34:39
HRonik
fr33man писал(а):Еще раз спрашиваю: нафига шлюзу видеть компы? Ему достаточно видеть пользователей
Удалите nss_ldap, если вы используете squid_ldap_auth. Они никак не связаны. Вы что-то не то и не там смотрите.
Я же писал что так видит не только аутентификатор, но и
ldap-account-manager! это то прога чисто с лдапом работает, не скажу как она работает
Но аналогично
squid_ldap_auth видит либо компы либо юзверей.
А команда
.тоже прекрасно работает при любых настройках nss_ldap,
кстате тоже видит и компы и юзверей...