Архив форумов ЦИТФорума

[gooamoko]

Здравствуйте!
Недавно решил заняться настройкой сервера LDAP.
Планируется поднять сервер для авторизации Linux и Windows машин.
Есть, наверное, штук пять руководств на английском и русском. Самое популярное для меня - по ALT Master. Там - как-то поподробнее изложено.
В процессе настройки возникают следующие грабли:
1. Абсолютно непонятно как именно подключаться к LDAP серверу.
такая команда как
/usr/sbin/ldapadd -xWD "cn=manager,dc=testlab,dc=ru" -f /tmp/init.ldif
Просит ввести пароль. В параметре D указан администратор LDAP сервера, пароль которого в файле slapd.conf хранится в простом или зашифрованном виде. Ни один из них, почему-то, не подходит. Пробывал шифровать как {crypt} и {MD5}. В ответ выдается invalid credentials. Если убрать из команды параметр -x, то ошибка уже другая.
Кто-нибудь может пролить свет на этот момент?
С добавлением записей в базу в оффлайне (когда сервер незапущен) я разобрался. Были небольшие трудности с ldif-файдами, но сама команда slapadd работает безупречно.
2. Непонятно что кроме nsswitch.conf и ldap.conf надо менять. вообще у меня ldap.conf два: один в /etc а другой - в /etc/openldap. какой править? Я подправил оба, указал что хост 127.0.0.1 и базу свою (dc=testlab,dc=ru). в nsswitch.conf указал для passwd group shadow - files ldap. Система не видит пользователей на сервере. Возможно - из-за списков доступа, которые были в руководстве. поменяю - скажу новости.
Жду ваших советов.
_________________
Что один сделал, другой завсегда сломать сможет

[gooamoko]

1. Забыл сказать версию LDAP (openldap-servers-2.1.29-1 (система -FC2))
2. Есть продвижения: После вчерашнего чтения и переваривания информации добился-таки работы команды ldapadd и команды ldapsearch. Возможно проблема была в списках доступа. Может неправильно переписал хеш пароля администратора LDAP :-) Теперь заработало добавление пользователей в онлайне и поиск.
Буду копать теперь авторизацию.
_________________
Что один сделал, другой завсегда сломать сможет

[gooamoko]

Еще немного продвинулся и теперь, похоже, застрял.
отредактировал /etc/nsswitch.conf и /etc/ldap.conf
команда

[gooamoko]

Вроде заработало.
надо было настроить system-auth на использование pam_ldap.so
Новый горизонт - прикрутить самбу и сделать TLS.
_________________
Что один сделал, другой завсегда сломать сможет

[gooamoko]

Всем привет. Процесс настройки самого простого сервера я задокументировал. Кто желает ознакомиться - даю ссылку:
http://garage.pgtk.polenet.ru/tweak.php?name=1000
Прошу только слишком строго не судить. Лучше подскажите как улучшить то, что уже имеется.
Самбу прикрутил, в домен машины заходят, пароли (о которых я спрашивал) - с клиента win2k обновляются без проблемм. Вопрос только вот какой остался: Непонятки у меня с SID и переводом их в uid. В примерах как-то странно об этом упоминается, да и меняются SID странным образом в учетках соседних. В пределах одного домена SID должен отличаться только последним числом, или нет?
Я делал так:
net getlocalsid, и потом к полученному SID для домена добавлял число для пользователя (включая хорошо известные SID). Может кто-нибудь пояснить этот момент? Желательно на русском :-)
Заранее благодарен.
_________________
Что один сделал, другой завсегда сломать сможет