Mailinglist Archive: opensuse-de (1864 mails)
| < Previous | Next > |
Ldap - Domain Admin
- From: Robert Großkopf <robert@xxxxxxxxxxxxxxxxxxx>
- Date: Tue, 20 Nov 2007 17:57:40 +0100
- Message-id: <200711201757.40176.robert@xxxxxxxxxxxxxxxxxxx>
Hallo,
ich habe diese Mail schon gegen Mittag einmal abgesetzt, war aber noch nicht
in der Liste eingetragen. Da sie nicht durchzukommen scheint hier noch
einmal:
Ich habe in der Schule vor 1 1/2 Jahren einen Ldap-Server mit SuSE 9.2 in
Betrieb genommen. Klappte nach einigem hin- und her recht reibungslos. Jetzt
ist allerdings einer der WIN-XP-Clients abgeschmiert, so dass eine neue
Festplatte nötig war und der Client neu in die Domäne aufgenommen werden
musste. Nur: Das klappt irgendwie nicht.
Kann dies vielleicht daran liegen, dass es daran liegt, dass der Rechner schon
einmal mit derselben IP und derselben Netzwerkkarte und natürlich demselben
Namen in der Domäne war?
Jeder Kontaktversuch wird mit "Zugriff nicht erlaubt" (oder so ähnlich, sitze
nicht an dem Rechner ...) quittiert. An den Einstellungen vor 1 1/2 Jahren
wurde nichts geändert, lediglich vor kurzem die Datenbank einmal wieder mit
dem Berkley-Tool repariert, da sie angeblich lief, aber keinen Kontakt
zuließ.
Ich habe also
einen root für die LDAP Datenbank, kann über webmin auch die Datenbank
verwalten, ebenso über Yast oder ein Gnome-Tool.
In der Datenbank existieren 2 Domain-Admins, wovon der eine sich auch so mit
Heimverzeichnis auf dem Server anmelden kann. Nur scheitern diese
Domain-Admins daran, ihre speziellen Rechte Wahrnehmen zu können.
Hier ein Auszug meiner slapd.conf
...
# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access to user password
# Allow anonymous users to authenticate
# Allow read access to everything else
# Directives needed to implement policy:
access to attr=userPassword,sambaLMPassword,sambaNTPassword
by self write
by * auth
# alle duerfen alles lesen
access to *
by * read
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
...
Der rootdn ist nicht identisch mit dem root auf dem Server, aber namensgleich
mit einem Nutzer, der auf dem Server noch als Nutzer direkt in passwd
eingetragen ist.
Weiß jemand einen Tip?
Gruß
Robert
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
ich habe diese Mail schon gegen Mittag einmal abgesetzt, war aber noch nicht
in der Liste eingetragen. Da sie nicht durchzukommen scheint hier noch
einmal:
Ich habe in der Schule vor 1 1/2 Jahren einen Ldap-Server mit SuSE 9.2 in
Betrieb genommen. Klappte nach einigem hin- und her recht reibungslos. Jetzt
ist allerdings einer der WIN-XP-Clients abgeschmiert, so dass eine neue
Festplatte nötig war und der Client neu in die Domäne aufgenommen werden
musste. Nur: Das klappt irgendwie nicht.
Kann dies vielleicht daran liegen, dass es daran liegt, dass der Rechner schon
einmal mit derselben IP und derselben Netzwerkkarte und natürlich demselben
Namen in der Domäne war?
Jeder Kontaktversuch wird mit "Zugriff nicht erlaubt" (oder so ähnlich, sitze
nicht an dem Rechner ...) quittiert. An den Einstellungen vor 1 1/2 Jahren
wurde nichts geändert, lediglich vor kurzem die Datenbank einmal wieder mit
dem Berkley-Tool repariert, da sie angeblich lief, aber keinen Kontakt
zuließ.
Ich habe also
einen root für die LDAP Datenbank, kann über webmin auch die Datenbank
verwalten, ebenso über Yast oder ein Gnome-Tool.
In der Datenbank existieren 2 Domain-Admins, wovon der eine sich auch so mit
Heimverzeichnis auf dem Server anmelden kann. Nur scheitern diese
Domain-Admins daran, ihre speziellen Rechte Wahrnehmen zu können.
Hier ein Auszug meiner slapd.conf
...
# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access to user password
# Allow anonymous users to authenticate
# Allow read access to everything else
# Directives needed to implement policy:
access to attr=userPassword,sambaLMPassword,sambaNTPassword
by self write
by * auth
# alle duerfen alles lesen
access to *
by * read
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
...
Der rootdn ist nicht identisch mit dem root auf dem Server, aber namensgleich
mit einem Nutzer, der auf dem Server noch als Nutzer direkt in passwd
eingetragen ist.
Weiß jemand einen Tip?
Gruß
Robert
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |