Hallo Dieter melde mich wieder einmal.. Am Mittwoch, 8. September 2004 17.33 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
Am Mittwoch, 8. September 2004 15.39 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
bitte siehe weiter unten..
Am Donnerstag, 2. September 2004 15.31 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter: > Hallo, > > Bernhard Buehler
(by way of Bernhard > Buehler
) writes: > > hallo liste [...]
[...]
[...]
Welche Attribute hat denn die Objektklasse suseModuleConfiguration, und was beinhalten die Einträge cn=suseusertemplate,dc=bbmlan.
es wird offenbar von der suse benutzerverwaltung bzw. yast angelegt. die funktion ist mir aber eigentlich unklar, es sollte vermutlich nur die vorlage für neue accounts sein:
dn cn=suseusertemplate,dc=bbmlan,dc=ch top objectClass suseObjectTemplate suseUserTemplate cn suseusertemplate susePlugin UsersPluginLDAPII suseDefaultValue homedirectory=/home/%uid loginshell=/bin/bash suseNamingAttibute uid suseSecundaryGroup ist leer structuralObjectClass suseUserTemplate (ist angezeigt nicht editierbar) entryUUID lange Nummer creatorsName cn=admin,dc=bbmlan,dc=ch createTimestamp datum/zeit entryCSN lange Nummer mit 1234....#1234.. usw. modifiersName cn=admin,dc=bbmlan,dc=ch modifyTimestamp datum/zeit subschemaSubentry cn=Subschema (nicht editierbar) hasSubordinates
ich werde daraus nicht sehr schlau.
Ich denke, ich werde mal einen testweise mit SuSE-9.0 einen Server mit LDAP Authentifizierung aufsetzen.
ich habe hier einen suse 9.0 und einen suse 9.1. bei 9.1 erscheint mir in yast einiges verbessert. mit meinem test und meinen projekt arbeite ich aber jetzt wieder mit 9.0 da ich zu der 9.1 (neuer kernel) aktuell nicht so vertrauen habe. suse 9.1 hat auch ein anderes schema (yast) für ldap. uebrigens mein bisheriges hauptproblem war der access .. in der slap.conf. die clients (zb. pam) kamen mit der standardeinstellung nicht klar.
[...]
ich bin jetzt nicht sicher, ob alle probleme gelöst sind, dies werde ich ja schon noch sehen. nun bin ich natürlich wieder voll motiviert und voller tatendrang. mein eigentliches projekt ist ja die üebernahme einer grossen nt-domäne.
Ein Rat von dir?
ich habe hier testweise die datenstruktur von lam (s. oben). genügt diese wirklich um alle nt-user und maschinendaten aufzunehmen. oder soll ich mich an die strukturen von idealix (pl-scripte kennst du ja sicher) halten. die strukturen von idealix und pl-scripte scheinen mir eher passend und ausführlicher. ich habe auch noch die aufgabe, dass sich neue maschinenaccounts (windows-pcs) automatisch anmelden und eintragen sollen und dass pc-benützer selbst ihre passwörter ändern können. könntest du mir eventuell dazu noch etwas sagen.
Zur Struktur eines NT-Authentifizierungsystems gibt es keine goldene Regel, letztlich ist alles abhängig von den eigenen Bedürfnissen. Die neueren Scripte von idealix sollten funktionieren. In meinem Buch beschriebe ich noch ältere Versionen, die mit Samba-3.0 nicht funktionierten. Die letzte Entscheidung trägt aber immer der verantwortliche Administrator. Die Hauptfaktoren, die die Struktur beeinflussen sind einerseits Leistungsaspekte und andererseits Sicherheitsaspekte. Wenn ich einige 100.000 Hosts und User habe ist es sinnvoller, diese auf mehrere Teilbäume zu verzweigen, das erhöht die Suchgeschwindigkeit, bei einigen hundert oder wenigen tausend Hosts und Users ist das nicht erforderlich. Zugriffsteuerungen über diverse Rechtevergaben sind leichter zu realisieren, wenn diese Regeln auf Subtrees abzubilden sind. Bei der grundsätzlichen Überlegung zur Struktur würde ich also zuerst Access Regeln beschreiben, mir dann Gedanken über Quantitäten machen und auch Möglichkeiten verteilter Systeme in betracht ziehen. Maschinenaccounts anlegen, Passworte der User ändern usw. ist ja die ureigene Aufgabe von Samba, da sollte es keine Schwierigkeiten geben. Ich bin allerdings nicht der große Samba-Zampano.
ich habe jetzt eine lösung, kann in yast, oder lam oder mit den pl-scripten neue user anlegen oder modifizieren. ich hatte noch eine variante mit dm5 passwortverschlüsselung. die ist mir aber nie richtig zum laufen gekommen, bzw. konnte man sich nicht anmelden (passwort error). ich bin jetzt zur standardvariante passwort (crypt) zurückgekehrt. hier scheint alles zu gehen. aktuell habe ich noch unklarheiten mit der indexierung und folgendes problem: obwohl mir die datenstruktur und die konfiguration in smb.conf richtig scheint, gibt es fehler beim select der gruppe. der user bbm hat die gruppe 10000 und die id der gruppe ldapgroup ist auch 10000. trotzdem wird es nicht gefunden (invalid dn): Sep 10 15:53:11 stag-lx1 slapd[4894]: SRCH "dc=stag,dc=ch" 2 0 Sep 10 15:53:11 stag-lx1 slapd[4894]: 1 0 0 Sep 10 15:53:11 stag-lx1 slapd[4894]: filter: (uid=bbm) Sep 10 15:53:11 stag-lx1 slapd[4894]: attrs: Sep 10 15:53:11 stag-lx1 slapd[4894]: Sep 10 15:53:11 stag-lx1 slapd[4894]: bdb_idl_fetch_key: [b49d1940] Sep 10 15:53:11 stag-lx1 slapd[4894]: bdb_idl_fetch_key: [fe501d8a] Sep 10 15:53:11 stag-lx1 slapd[4840]: connection_get(17) Sep 10 15:53:11 stag-lx1 slapd[4892]: SRCH "dc=stag,dc=ch" 2 0 Sep 10 15:53:11 stag-lx1 slapd[4892]: 0 0 0 Sep 10 15:53:11 stag-lx1 slapd[4892]: filter: (&(objectClass=posixGroup)(| (memberUid=bbm)(uniqueMember=uid=bbm,ou=people,dc=stag,dc=ch))) Sep 10 15:53:11 stag-lx1 slapd[4892]: attrs: Sep 10 15:53:11 stag-lx1 slapd[4892]: cn Sep 10 15:53:11 stag-lx1 slapd[4892]: userPassword Sep 10 15:53:11 stag-lx1 slapd[4892]: memberUid Sep 10 15:53:11 stag-lx1 slapd[4892]: uniqueMember Sep 10 15:53:11 stag-lx1 slapd[4892]: gidNumber Sep 10 15:53:11 stag-lx1 slapd[4892]: Sep 10 15:53:11 stag-lx1 slapd[4892]: bdb_idl_fetch_key: [b49d1940] Sep 10 15:53:11 stag-lx1 slapd[4892]: bdb_idl_fetch_key: [fd83b1e1] Sep 10 15:53:11 stag-lx1 slapd[4892]: <= bdb_equality_candidates: (memberUid) index_param failed (18) Sep 10 15:53:11 stag-lx1 slapd[4892]: <= bdb_equality_candidates: (uniqueMember) index_param failed (18) Sep 10 15:53:11 stag-lx1 slapd[4840]: connection_get(27) Sep 10 15:53:11 stag-lx1 slapd[4841]: do_search: invalid dn ("ou=groups,dc=stag,dc=ch","dc=stag,dc=ch") Sep 10 15:53:11 stag-lx1 slapd[4841]: send_ldap_result: err=34 matched="" text="invalid DN" Sep 10 15:53:11 stag-lx1 smbd[7877]: [2004/09/10 15:53:11, 0] passdb/pdb_ldap.c:ldapsam_search_one_group(1763) Sep 10 15:53:11 stag-lx1 smbd[7877]: ldapsam_search_one_group: Problem during the LDAP search: LDAP error: invalid DN (Invalid DN syntax) Sep 10 15:53:11 stag-lx1 slapd[4840]: connection_get(27) Sep 10 15:53:11 stag-lx1 slapd[4840]: connection_get(17) die datenstruktur sieht so aus: dc=stag,dc=ch ou=people, uid=bbm ou=groups, cn=ldapgroup ou=machines ou=domains in der smb.conf habe ich: passdb backend = ldapsam:ldap://localhost ldap ssl = no ldap suffix = "dc=stag,dc=ch" ldap admin dn = "cn=admin,dc=stag,dc=ch" ldap user suffix = "ou=people,dc=stag,dc=ch" ldap group suffix = "ou=groups,dc=stag,dc=ch" ldap machine suffix = "ou=machines,dc=stag,dc=ch" ldap admin dn = "cn=admin,dc=stag,dc=ch" ldap delete dn = no ldap passwd sync = yes könntest du bitte die sache einmal ansehen. auch wäre ich dir für einige tipps welche indexe für was (und wie codiert) dankbar. das schwergewicht sind einige hundert user und maschinen. aber auch das eigentliche login (ohne samba) sollte gut (schnell) gehen. schönes wochenende und vielen dank bernhard (ueberigens die liste ist schon ganz schön lang, sollte man ev. einmal neu anfangen?)
in jedem falle finde ich deinen einsatz in der suse-liste (habe ich schon früher beim durchsehen gedacht) super und lobenswert und natürlich auch für mich. also in jedem falle mal vielen herzlichen dank.
Danke für die Blumen :-)
-Dieter
-- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328