openldap

[ford1813]

Установил, настроил , завязал squid + ldap,apache + ldap,pure-ftpd + ldap.
Но хочу большего, так же установил
Linux-PAM-1.0.2
nss_ldap-262
pam_ldap-184
В файле

/etc/nsswitch.conf
passwd: files ldap nis
shadow: files ldap nis
group: files ldap nis

привел все к такому виду,

cat /etc/openldap/ldap.conf |grep -v ^#|grep -v ^$
BASE dc=werti,dc=com
URI ldap://werti.com ldap://werti.com:666
Но
etent passwd|grep 0:0
root:x:0:0::/root:/bin/bash

В какую сторону покопать, какой уровень логов выставить на openldap .
какие еще логи смотреть.
или все с strace ?.
Гуру пните , тех кто завязывал локльную авторизацию через ldap сервер.
os slackware 12.1

[ford1813]

Хочу попробовать авторизоваться , использую ldap .

[BigKAA]

Немного не понял, а в чем вопрос?
В том что root из LDAP не берется?
или что?

Кстати, зачем nis писать? Или еще nis стоит?

[ford1813]

Немного не понял, а в чем вопрос?
В том что root из LDAP не берется?
или что?

Кстати, зачем nis писать? Или еще nis стоит?

Вопрос собственно в том как заставить логинится используя ldap auth,
Насколько я понял при верной настройке всего добра у меня при опросе с помощью данной команды
getent shadow | grep ^root

долдно быть что то вида :
getent shadow | grep ^root
root:.vSlVrIfg2SZ2:12089::10000::::0
root:xxxxxxxxxxxxx:12089:0:10000::::
Следовательно ,все конфиги ,модули сконфигурированы и настроены верно. Следовательно опрос уже идет и используя ldap.

Не могу сообразить где моя ошибка.
nis мной не редактировался ибо стоял там по умолчанию.
Все squid + ldap,apache + ldap,pure-ftpd + ldap. завязал и прекрастно работает. Тут проблем не было.

[BigKAA]

1. Root в LDAP не пихать!!! У каждой машины должен быть свой локальный рут. Иначе, не дай бог получаи пароль root из LDAP и пипец всем машинам в сети!!!

2. А вы заменили набор shadowutils на аналогичный набор с поддержкой PAM? Если нет, то работать не будет.

[Ariasp]

Насколько я понял при верной настройке всего добра у меня при опросе с помощью данной команды
getent shadow | grep ^root

долдно быть что то вида :
getent shadow | grep ^root
root:.vSlVrIfg2SZ2:12089::10000::::0
root:xxxxxxxxxxxxx:12089:0:10000::::

вобще-то дублировать учётку рута в ldap - это мягко говоря не очень хорошо; в ldap лучше использовать только несистемные учётки

at /etc/openldap/ldap.conf |grep -v ^#|grep -v ^$
BASE dc=werti,dc=com
URI ldap://werti.com ldap://werti.com:666

И это всё? а где собственно директивы nss_base_passwd, nss_base_group и nss_base_passwd_shadow? поэтому всё нормально - при такой настройке лдап-клиент nss не в курсе, откуда брать инфу, чтобы добавить её к posix-таблицам
ещё заметил - в /etc/openldap/ldap.conf находится конфиг обычного лдап-клиента; конфиг же nss-ldap-клиента обычно находится в /etc/ldap.conf (зависит от дистрибутива)

[ford1813]

Насколько я понял при верной настройке всего добра у меня при опросе с помощью данной команды
getent shadow | grep ^root

долдно быть что то вида :
getent shadow | grep ^root
root:.vSlVrIfg2SZ2:12089::10000::::0
root:xxxxxxxxxxxxx:12089:0:10000::::

вобще-то дублировать учётку рута в ldap - это мягко говоря не очень хорошо; в ldap лучше использовать только несистемные учётки

at /etc/openldap/ldap.conf |grep -v ^#|grep -v ^$
BASE dc=werti,dc=com
URI ldap://werti.com ldap://werti.com:666

И это всё? а где собственно директивы nss_base_passwd, nss_base_group и nss_base_passwd_shadow? поэтому всё нормально - при такой настройке лдап-клиент nss не в курсе, откуда брать инфу, чтобы добавить её к posix-таблицам
ещё заметил - в /etc/openldap/ldap.conf находится конфиг обычного лдап-клиента; конфиг же nss-ldap-клиента обычно находится в /etc/ldap.conf (зависит от дистрибутива)

С этим nss_base_passwd, nss_base_group и nss_base_passwd_shadow я пробовал, результата нет,
а при компилирование nss_ldap я явно указывал


Optional Packages:
--with-PACKAGE[=ARG] use PACKAGE [ARG=yes]
--without-PACKAGE do not use PACKAGE (same as --with-PACKAGE=no)
--with-ldap-lib=type select ldap library auto|netscape5|netscape4|netscape3|umich|openldap
--with-ldap-dir=DIR base directory of LDAP SDK
--with-ldap-conf-file path to LDAP configuration file
--with-ldap-secret-file path to LDAP root secret file
--with-gssapi-dir=DIR base directory of gssapi SDK
--with-ngroups=num average group size hint, experts only

За пинов в сторону рута спасибо, в остальном плаваю, так как большинство how to описано для более поздних версия и иных дистрибутивов отличных от slackware. На то и сетую.

1. Root в LDAP не пихать!!! У каждой машины должен быть свой локальный рут. Иначе, не дай бог получаи пароль root из LDAP и пипец всем машинам в сети!!!

2. А вы заменили набор shadowutils на аналогичный набор с поддержкой PAM? Если нет, то работать не будет.

Было установлено мной,

Linux-PAM-1.0.2
nss_ldap-262
pam_ldap-184

[Ariasp]

С этим nss_base_passwd, nss_base_group и nss_base_passwd_shadow я пробовал, результата нет,
а при компилирование nss_ldap я явно указывал

ещё раз повторю -- в /etc/openldap/ldap.conf находится конфиг обычного лдап-клиента; конфиг же nss-ldap-клиента обычно находится в /etc/ldap.conf (зависит от дистрибутива -- во фре этот конфиг вовсе зовётся /etc/nss_ldap.conf; где он в слаквари - надо смотреть)

[BigKAA]

1. Root в LDAP не пихать!!! У каждой машины должен быть свой локальный рут. Иначе, не дай бог получаи пароль root из LDAP и пипец всем машинам в сети!!!

2. А вы заменили набор shadowutils на аналогичный набор с поддержкой PAM? Если нет, то работать не будет.

Было установлено мной,

Linux-PAM-1.0.2
nss_ldap-262
pam_ldap-184

По умолчанию в Слаке программы связанные с аутентификацией НЕ УМЕЮТ РАБОТАТЬ С PAM!
Надо заменить стандартные программы. Или взять пакет shadowutils из проекта dropline gnome (кажись так называется). Ну или самому пересобрать из исходников.

[ford1813]

Благодарю , поковыряю. Спасибо.