Apache ldap suEXEC Zusammenspiel
Hallo, Folgendes Problem hat sich bei mir eingestellt. Proftpd habe ich über LDAP laufen. Die Homeverzeichnisse werden von proftpd sauber angelegt und die Rechte sauber gesetzt. Im shadow wird die UID geschrieben. Nun möchte ich, das die Scripte von den Usern mit einem CGI-Wrapper laufen. Mod_user_dir und suExec sind konfiguriert. Nun wird aber bei der Abfrage des UserVerzeichnisses im passwd nachgeschaut ob dieses ein User ist. OK dachte ich mir. Dann konfiguriere ich nsswitch.conf um, so das ldap abgefragt wird. Leider wird abber immer noch die UID angezeigt und nicht der richtige Username aus dem LDAP. LDAP wird noch nicht einmal gefragt. Die logfiles sagen auch nichts. Für einen Tip bin ich sehr verbunden. Danke. Gruss Frank
Hallo,
Frank Patzig
Hallo,
Folgendes Problem hat sich bei mir eingestellt.
Proftpd habe ich über LDAP laufen. Die Homeverzeichnisse werden von proftpd sauber angelegt und die Rechte sauber gesetzt. Im shadow wird die UID geschrieben. Nun möchte ich, das die Scripte von den Usern mit einem CGI-Wrapper laufen. Mod_user_dir und suExec sind konfiguriert. Nun wird aber bei der Abfrage des UserVerzeichnisses im passwd nachgeschaut ob dieses ein User ist. OK dachte ich mir. Dann konfiguriere ich nsswitch.conf um, so das ldap abgefragt wird. Leider wird abber immer noch die UID angezeigt und nicht der richtige Username aus dem LDAP. LDAP wird noch nicht einmal gefragt. Die logfiles sagen auch nichts.
Du sagst leider nicht, was du als LDAP Server einsetzt, daher rate ich jetzt mal, daß openldap 1.x eingesetzt wird. Wie lauten denn da die Distuinged Names? Beginnen die auch mit dn: uid=name, ist die objectclass posixAccount eingeschlossen? Wird uidNumber gesetzt, wird gidNumber gesetzt? Welche Daten werden indiziert? Welche access regeln sind gesetzt? Du siehst, viele Fragen :-) In /var/log/localmessages sollten die slapd Zugriffe protokolliert werden, wennn die nicht aussagefähig genug sind, starte sladp mal im Debugging Modus. Sieh dazu den Openldap Administrator Guide.html -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo, Ich setzte folgende Packete ein: nss_ldap-167-21 openldap2-client-2.0.12-19 pam_ldap-122-29 authldap-1.6.0-14 openldap2-devel-2.0.12-19 openldap2-2.0.12-19 ACLs habe ich noch niht gesetzt. Die Indizierung setzte ich wie folgt: index objectClass eq index cn,sn,givenName,mail,uid eq,sub Das File sieht wie dolgt aus: dn: uid=user ,ou=proftpd,dc=<domain>,dc=DE objectclass: posixAccount objectClass: inetOrgPerson objectClass: pilotObject objectClass: top objectClass: shadowAccount loginShell: /bin/false uid: user uidNumber: 10000 gidNumber: 500 homeDirectory: /home/user userPassword: test mail: test@<domain> description: quota: 50 lastModifiedTime: 2002080503Z labeledURI: givenName: user Walter cn: walter sn: user Die objectclassen top und shadowAccount habe ich nur zum Test reingenommen. Das ldap.conf hab ich wie folgt aufgebaut. host 127.0.0.1 base dc=<domain>,dc=de pam_filter objectclass=POSIXACCOUNT pam_login_attribute uid ldap_version 3 nss_base_passwd ou=proftpd, dc=<domain>,dc=de?sub nss_base_shadow ou=proftpd, dc=<domain>,dc=de?sub nsswitch.conf habe ich wie folgt geändert: passwd: files ldap shadow: files ldap group: files ldap In den Logfiles kommt gar kein Eintrag. Ich habe das gefühl, das gar nicht ldap gefragt wird. Gruss Frank Dieter Kluenter wrote:
Du sagst leider nicht, was du als LDAP Server einsetzt, daher rate ich jetzt mal, daß openldap 1.x eingesetzt wird. Wie lauten denn da die Distuinged Names? Beginnen die auch mit dn: uid=name, ist die objectclass posixAccount eingeschlossen? Wird uidNumber gesetzt, wird gidNumber gesetzt? Welche Daten werden indiziert? Welche access regeln sind gesetzt? Du siehst, viele Fragen :-) In /var/log/localmessages sollten die slapd Zugriffe protokolliert werden, wennn die nicht aussagefähig genug sind, starte sladp mal im Debugging Modus. Sieh dazu den Openldap Administrator Guide.html
-Dieter
Hallo, das Problem habe ich gefunden. Einfach den nscd gestopt, dann funktioniert alles. Gruss Frank
participants (2)
-
Dieter Kluenter
-
Frank Patzig