Mailinglist Archive: opensuse-de (3763 mails)
| < Previous | Next > |
Re: ldap suse 9.0 / samba 3.0
- From: Bernhard Buehler <bbuehler@xxxxxxxxxxxxxx>
- Date: Thu, 2 Sep 2004 14:24:05 +0200
- Message-id: <200409021424.05636.bbuehler@xxxxxxxxxxxxxx>
Hallo Dieter
vorab herzlichen dank, dass du dich meinem problem angenommen hast. ich bin
nun einiges weitergekommen und es wäre mir sehr hilfreich, noch weiter auf
deine unterstützung zählen zu können.
Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter:
> Hallo,
>
> Bernhard Buehler <bbuehler@xxxxxxxxxxxxxx>(by way of Bernhard Buehler
<bbuehler@xxxxxxxxxxxxxx>) writes:
> > hallo liste
> >
> > ich möchte gerne unter suse 9.0 ldap für user-accounts und samba
> > einrichen. habe mich so schlecht und recht bisher durchgekämpft und
> > stehe jetzt wirklich an. ich weiss nicht on meine datenstruktur einen
> > fehler hat, oder ob ich was nicht verstanden habe. ich kann zb. mit gq
> > die ldap-struktur browsen.
> >
> > was ist hier falsch (invalid DN-syntax)?
> > ldapsearch -d 256 -x -b -D "dc=stag,dc=ch" -b ' ' -s base
> > supportedSASLmechanisms
> > request 1 done
> > # extended LDIF
> > # LDAPv3
> > # base < > with scope base
> > # filter: dc=stag,dc=ch
> > # requesting: supportedSASLmechanisms
>
> Sieh dir mal deinen Suchstring genau an und interpretiere einmal
> Schritt für Schritt deine Optionen.
>
> Du möchtest ldapsearch im (-d) Debugging Modus 256 laufen lassen,
> initiierst ein simple bind (-x), möchtest die Suchbasis (-b) -D
> dc=stag,dc=ch durchsuchen, dann erneut die Suchbasis rootDSE
> durchsuchen( -b '') und als Scope möchtest du base.
> Das kann ja nicht gutgehen.:-(
>
> versuche einmal
> ldapsearch -d3 -x -b "" -s base +
> das sollte helfen, das Plus (+) bedeutet daß operationale Attribute
> ausgegeben werden.
>
> rootDSE muß anonym durchsucht werden können, daher muß du dich nicht
> unbedingt mit einem Distinguished Name (-D) binden.Die access rules
> hierfür sollten lauten
> access to dn.base=""by * read
>
> Debugging Modus 256 macht bei Clients keinen Sinn, da nur
> Serverstatistik in diesem Modus ausgewertet wird. Im Debugging Modus
> 3 wird die Verbindung zwischen Client und Server protokolliert.
ok, ich weiss nun dass meine datenstruktur io ist. ich wollte einfach nur
möglichst viel (bzw. alles) vom ldap auslesen. gibt es überhaupt eine
möglichkeit, so eine totale üebersicht über alles was zu ldap gehört
(konfiguration/struktur/module) auf einer uebersicht auszulesen (so alla
samba mit testparm).
>
> > gibt es irgendwo eine schritt- zu schrittanweisung für meine
> > aufgabenstellung?
>
> http://www.openldap.org/doc/admin22/
> oder kaufe das beste deutschsprachige Buch zum Thema LDAP/OpenLDAP.
du wirst dich freuen, das "beste deutschsprachige buch" habe ich schon. es
heisst ldap verstehen... von einem dieter klünter. möglichweise hast du schon
davon gehört. das buch finde ich sehr gut. nur wie du ja auch weisst ist ldap
trotzdem ein harter brocken. auch die suse-spezifischen dinge liegen für mich
ziemlich im unklaren.
also jetzt wieder im ernst. ich wäre dir für weitere hilfe (auch kommerziell)
sehr dankbar.
mein ldap scheint gut zu laufen. ich habe jetzt folgende struktur:
dc=stag,dc=ch
- ou=people,groups,machines und domains
ich kann mit dem ldap account manager (webapplikation) benutzer anlegen. diese
erscheinen auch in der yast benutzerverwaltung und ich kann in yast erstellte
benutzer in ldap aman richtiger stelle wieder finden, usw. mit smbclient kann
ich ldap-benutzer verwenden.
nun kommt mein nächstes problem. gemäss verschiedenen unterlagen die ich in
der letzten zeit gesehen habe, soll die umstellung der benutzerverwaltung und
authentifizierung unter suse (ich habe 9.0) einfach und nur über yast möglich
sein. nach ldap aktivierung in yast erfolgte beim login keine reaktion. ldap
user konnten sich auch nicht anmelden. ich habe nun folgendes geändert:
pam_unix2.conf:
auth: use_ldap nullok
account: use_ldap
password: use_ldap md5 nullok
session: none
nsswitch.conf:
passwd: files ldap compat
group: files ldap compat
shadow: files ldap compat
sshd:
auth sufficient pam_ldap.so
auth required pam_unix.so try_first_pass
account sufficient pam_ldap.so
session required pam_mkhomedir.so skel=/etc/skel/umask=0022
password sufficient pam_ldap.so
normale systemuser können sich weiter anmelden (zb. mit ssh). ldap-user gehen
nicht. in messages steht nur "PAM system error".
weisst du hier weiter rat und wie ich vorgehen soll?
danke
Bernhard
~
>
> -Dieter
>
> --
> Dieter Klünter | Systemberatung
> http://www.avci.de
> GPG Key ID:8C183C8622115328
vorab herzlichen dank, dass du dich meinem problem angenommen hast. ich bin
nun einiges weitergekommen und es wäre mir sehr hilfreich, noch weiter auf
deine unterstützung zählen zu können.
Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter:
> Hallo,
>
> Bernhard Buehler <bbuehler@xxxxxxxxxxxxxx>(by way of Bernhard Buehler
<bbuehler@xxxxxxxxxxxxxx>) writes:
> > hallo liste
> >
> > ich möchte gerne unter suse 9.0 ldap für user-accounts und samba
> > einrichen. habe mich so schlecht und recht bisher durchgekämpft und
> > stehe jetzt wirklich an. ich weiss nicht on meine datenstruktur einen
> > fehler hat, oder ob ich was nicht verstanden habe. ich kann zb. mit gq
> > die ldap-struktur browsen.
> >
> > was ist hier falsch (invalid DN-syntax)?
> > ldapsearch -d 256 -x -b -D "dc=stag,dc=ch" -b ' ' -s base
> > supportedSASLmechanisms
> > request 1 done
> > # extended LDIF
> > # LDAPv3
> > # base < > with scope base
> > # filter: dc=stag,dc=ch
> > # requesting: supportedSASLmechanisms
>
> Sieh dir mal deinen Suchstring genau an und interpretiere einmal
> Schritt für Schritt deine Optionen.
>
> Du möchtest ldapsearch im (-d) Debugging Modus 256 laufen lassen,
> initiierst ein simple bind (-x), möchtest die Suchbasis (-b) -D
> dc=stag,dc=ch durchsuchen, dann erneut die Suchbasis rootDSE
> durchsuchen( -b '') und als Scope möchtest du base.
> Das kann ja nicht gutgehen.:-(
>
> versuche einmal
> ldapsearch -d3 -x -b "" -s base +
> das sollte helfen, das Plus (+) bedeutet daß operationale Attribute
> ausgegeben werden.
>
> rootDSE muß anonym durchsucht werden können, daher muß du dich nicht
> unbedingt mit einem Distinguished Name (-D) binden.Die access rules
> hierfür sollten lauten
> access to dn.base=""by * read
>
> Debugging Modus 256 macht bei Clients keinen Sinn, da nur
> Serverstatistik in diesem Modus ausgewertet wird. Im Debugging Modus
> 3 wird die Verbindung zwischen Client und Server protokolliert.
ok, ich weiss nun dass meine datenstruktur io ist. ich wollte einfach nur
möglichst viel (bzw. alles) vom ldap auslesen. gibt es überhaupt eine
möglichkeit, so eine totale üebersicht über alles was zu ldap gehört
(konfiguration/struktur/module) auf einer uebersicht auszulesen (so alla
samba mit testparm).
>
> > gibt es irgendwo eine schritt- zu schrittanweisung für meine
> > aufgabenstellung?
>
> http://www.openldap.org/doc/admin22/
> oder kaufe das beste deutschsprachige Buch zum Thema LDAP/OpenLDAP.
du wirst dich freuen, das "beste deutschsprachige buch" habe ich schon. es
heisst ldap verstehen... von einem dieter klünter. möglichweise hast du schon
davon gehört. das buch finde ich sehr gut. nur wie du ja auch weisst ist ldap
trotzdem ein harter brocken. auch die suse-spezifischen dinge liegen für mich
ziemlich im unklaren.
also jetzt wieder im ernst. ich wäre dir für weitere hilfe (auch kommerziell)
sehr dankbar.
mein ldap scheint gut zu laufen. ich habe jetzt folgende struktur:
dc=stag,dc=ch
- ou=people,groups,machines und domains
ich kann mit dem ldap account manager (webapplikation) benutzer anlegen. diese
erscheinen auch in der yast benutzerverwaltung und ich kann in yast erstellte
benutzer in ldap aman richtiger stelle wieder finden, usw. mit smbclient kann
ich ldap-benutzer verwenden.
nun kommt mein nächstes problem. gemäss verschiedenen unterlagen die ich in
der letzten zeit gesehen habe, soll die umstellung der benutzerverwaltung und
authentifizierung unter suse (ich habe 9.0) einfach und nur über yast möglich
sein. nach ldap aktivierung in yast erfolgte beim login keine reaktion. ldap
user konnten sich auch nicht anmelden. ich habe nun folgendes geändert:
pam_unix2.conf:
auth: use_ldap nullok
account: use_ldap
password: use_ldap md5 nullok
session: none
nsswitch.conf:
passwd: files ldap compat
group: files ldap compat
shadow: files ldap compat
sshd:
auth sufficient pam_ldap.so
auth required pam_unix.so try_first_pass
account sufficient pam_ldap.so
session required pam_mkhomedir.so skel=/etc/skel/umask=0022
password sufficient pam_ldap.so
normale systemuser können sich weiter anmelden (zb. mit ssh). ldap-user gehen
nicht. in messages steht nur "PAM system error".
weisst du hier weiter rat und wie ich vorgehen soll?
danke
Bernhard
~
>
> -Dieter
>
> --
> Dieter Klünter | Systemberatung
> http://www.avci.de
> GPG Key ID:8C183C8622115328
| < Previous | Next > |