Erste Versuche mit LDAP
Hallo Liste,
Ich komme da nicht mehr weiter:
Ich habe eine SuSE 7.2 mit einer server:/etc/openldap/ldif # rpm -qi
openldap2
Name : openldap2 Relocations: (not
relocateable)
Version : 2.0.12 Vendor: SuSE AG,
Nuernberg, Germany
Release : 33 Build Date: Mon Jul 15
05:34:55 2002
Install date: Sun Sep 8 18:53:39 2002 Build Host: ragsdale.suse.de
Group : Networking/Daemons Source RPM:
openldap2-2.0.12-33.src.rpm
Size : 4305220 License: Copyright
1998-2000 The OpenLDAP Foundation
Packager : feedback@suse.de
Summary : The new OpenLDAP Server (LDAPv3)
Description :
The Lightweight Directory Access Protocol (LDAP) is a protocol for
accessing online directory services. It runs directly over TCP, and
can be used to access a standalone LDAP directory service or to access
a directory service that is back-ended by X.500
Authors:
--------
Kurt Zeilenga
Hallo, On Monday 09 September 2002 20:16, Patrice Staudt wrote:
server:/etc/openldap/ldif # ldapadd -D "cn=admin, o=engsys" -w secret -v -f engsys.ldif ldap_initialize( <DEFAULT> ) ldap_sasl_interactive_bind_s: No such attribute server:/etc/openldap/ldif #
ich verwende kein sasl und gebe dem ldapadd ein -x mit, also # ldapadd -x -D ... Bye, Stephan -- /* Stephan Hakuli -=-=-=- http://www.hakuli.de/stephan Encryption with GnuPG/GPG is strongly encouraged, my public key is available on my website or on common public keyservers. # find /usr/src/linux-2.2.20 -name "*.[hc]"|xargs grep "can grep" */
Hallo,
Stephan Hakuli
Hallo,
On Monday 09 September 2002 20:16, Patrice Staudt wrote:
server:/etc/openldap/ldif # ldapadd -D "cn=admin, o=engsys" -w secret -v -f engsys.ldif ldap_initialize( <DEFAULT> ) ldap_sasl_interactive_bind_s: No such attribute server:/etc/openldap/ldif #
ich verwende kein sasl und gebe dem ldapadd ein -x mit, also # ldapadd -x -D ...
sasldb muß aber vorhanden sein, ob du es nutzt, ist eine andere Frage. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo,
Patrice Staudt
Hallo Liste,
Ich komme da nicht mehr weiter:
Der Start von rcldap geht . Ich bin nach der Beschreibung Jens Banninf aus Addison-Wesley Verlag vorgegangen und kommen nicht weiter.
Den Banning kannst du vergessen. Der beschreibt nur LDAPv2, und nutzt OpenLDAP-1.x OpenLDAP-2.x ist aber LDAPv3 konform.
server:/etc/openldap/ldif # ldapadd -D "cn=admin, o=engsys" -w secret -v -f engsys.ldif ldap_initialize( <DEFAULT> ) ldap_sasl_interactive_bind_s: No such attribute server:/etc/openldap/ldif # in der engsys.ldif
Du must sasdb einrichten. OpenLDAP-2.x ist mit cyrus-sasl kompiliert
Weiß da jemand eine Guten Rat ich möschte die Direktorie für samba ldap vorran bringen.
Wenn du Samba mit OpenLDAP nutzen möchtest brauchst du folgende Änderungen, Berkeley DB Version 4.x cyrus-sasl-2.1.6 openldap-2.1.x ich empfehle dir openldap 2.1.3 Dann hole dir die Pakete acl-2.0.11.rpm acl-devel-2.0.11.rpm attr-2.0.8.rpm attr-devel-2.0.8.rpm samba-2.2.5.rpm samba-client-2.2.5.rpm samba-ldap-2.2.5.rpm samba-ldap-client-2.2.5.rpm Wenn du dir dann noch die MigrationTools von http://www.padl.com holst, kannst du /etc/passwd und /etc/group mit diesem Tools in eine .ldif Datei wandeln und anschließend mit ldapadd deinen DIT bevölkern. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo Dieter, On Monday 09 September 2002 21:32, Dieter Kluenter wrote:
Du must sasdb einrichten. OpenLDAP-2.x ist mit cyrus-sasl kompiliert
warum eigentlich? Ich habe das nie wissentlich getan, sondern gebe ldapadd, ldapdelete etc. immer das -x (man page: use simple authentication instead of SASL) mit. Für alles, was mit Authentifikation zu tun hat, verwende ich pam-ldap. Ist das ein Fehler? Oder vergleiche ich gerade Äpfel mit Birnen? Schöne Grüße, Stephan -- /* Stephan Hakuli -=-=-=- http://www.hakuli.de/stephan Encryption with GnuPG/GPG is strongly encouraged, my public key is available on my website or on common public keyservers. # find /usr/src/linux-2.2.20 -name "*.[hc]"|xargs grep "can grep" */
Hallo,
Stephan Hakuli
Hallo Dieter,
On Monday 09 September 2002 21:32, Dieter Kluenter wrote:
Du must sasdb einrichten. OpenLDAP-2.x ist mit cyrus-sasl kompiliert
warum eigentlich? Ich habe das nie wissentlich getan, sondern gebe ldapadd, ldapdelete etc. immer das -x (man page: use simple authentication instead of SASL) mit. Für alles, was mit Authentifikation zu tun hat, verwende ich pam-ldap. Ist das ein Fehler? Oder vergleiche ich gerade Äpfel mit Birnen?
Nein, nur eine RFC Empfehlung. Die RFC2251 beschreibt LDAPv3, dort wird die Verwendung von SASL mit MAY empfohlen. Im configure script von OpenLDAP-2.x ist libsasl als Default eingebunden, es sei denn, durch das Flag --without-sasl wird darauf verzichtet. SuSE kompiliert OpenLDAP mit libsasl, daher muß cyrus-sasl installiert sein und die sasldb existieren. Ein simple bind geht nur, wenn für rootdn ein rootpw in slapd.conf steht, und jeder Anwender das Passwort im DIT gespeichert hat. Dies ist nicht sonderlich sicher, da die Passworte nicht verwchlüsselt sind. Ausnahme ist, wenn die Passwörter mit slappasswd erzeugt werden. Das pam_ldap Modul funktioniert eigentlich nur richtig, wenn es mit den lokalen Gegebenheiten, Realm, Domain etc., kompiliert wurde. Dazu muß die ldap.conf im Quellpaket bearbeitet werden. Aber Authentifizierung ist ein zu weites Feld, als daß es hier in zwei Sätzen dargelegt werden könnte. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo Dieter und alle andere, Vielen Dank für die Wertvolle Hinweise ein Teil geht jetzt. Was gibst es an Möglichkeit diese Direktorie Info an Windows in Linux Mail Clienten zu nutzen? Gruß Patrice
Hallo,
Patrice Staudt
Hallo Dieter und alle andere,
Vielen Dank für die Wertvolle Hinweise ein Teil geht jetzt. Was gibst es an Möglichkeit diese Direktorie Info an Windows in Linux Mail Clienten zu nutzen?
Ja, sowohl Outlook als auch fast alle Mail Clients unter Linux können Directory Dienste nutzen. Üblicherweise wird dann Serveradresse, Port, das ist 389 als default, Suchbasis, also z.B. ou=users,o=myrealm,c=fr, Scope, das kann sein base, one,sub, default ist sub, d.h. alle Suchebenen unterhalb der Suchbasis, one bedeutet eine Suchebene unterhalb der Suchbasis, base ist nur die Suchbasis. Dann wird noch der Suchstring benötigt, also daß was du suchst. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo, On Tuesday 10 September 2002 08:56, Dieter Kluenter wrote:
Stephan Hakuli
writes: On Monday 09 September 2002 21:32, Dieter Kluenter wrote:
Du must sasdb einrichten. OpenLDAP-2.x ist mit cyrus-sasl kompiliert warum eigentlich? Ich habe das nie wissentlich getan, sondern gebe ldapadd, ldapdelete etc. immer das -x (man page: use simple authentication instead of SASL) mit. Für alles, was mit Authentifikation zu tun hat, verwende ich pam-ldap. Ist das ein Fehler? Oder vergleiche ich gerade Äpfel mit Birnen?
Nein, nur eine RFC Empfehlung. Die RFC2251 beschreibt LDAPv3, dort wird die Verwendung von SASL mit MAY empfohlen. Im configure script von OpenLDAP-2.x ist libsasl als Default eingebunden, es sei denn, durch das Flag --without-sasl wird darauf verzichtet. SuSE kompiliert OpenLDAP mit libsasl, daher muß cyrus-sasl installiert sein und die sasldb existieren.
Ein simple bind geht nur, wenn für rootdn ein rootpw in slapd.conf steht, und jeder Anwender das Passwort im DIT gespeichert hat. Dies ist nicht sonderlich sicher, da die Passworte nicht verwchlüsselt sind. Ausnahme ist, wenn die Passwörter mit slappasswd erzeugt werden.
oha. Ja, ich habe einen Eintrag rootdn/rootpw in slapd.conf, die Passwörter der Anwender werden in der Tat mit slappasswd erzeugt.
Das pam_ldap Modul funktioniert eigentlich nur richtig, wenn es mit den lokalen Gegebenheiten, Realm, Domain etc., kompiliert wurde. Dazu muß die ldap.conf im Quellpaket bearbeitet werden.
Davon habe ich noch nichts gemerkt. Bislang funktionieren tasks login, sudo, su, sshd und passwd. Als nächstes ist der Mailserver dran. Vielen Dank für Deine Erklärung! Schöne Grüße, Stephan -- /* Stephan Hakuli -=-=-=- http://www.hakuli.de/stephan Encryption with GnuPG/GPG is strongly encouraged, my public key is available on my website or on common public keyservers. # find /usr/src/linux-2.2.20 -name "*.[hc]"|xargs grep "can grep" */
Hallo Liste, Ich habe ein Teil der Lössung die Syntax ist sehr Kompliziert. Durch das einfügen von dem core.schema bin ich der Lössung näher gekommen. Wo bekomme ich das samba.schema her? Dann habe ich noch eine Fehlermeldung in der messages: Sep 9 23:05:11 server slapd[10387]: unable to open Berkeley db /etc/sasldb: No such file or directory Weiß da jemand etwas dazu . Danke Grüße von Patrice
Hallo,
Patrice Staudt
Hallo Liste,
Ich habe ein Teil der Lössung die Syntax ist sehr Kompliziert. Durch das einfügen von dem core.schema bin ich der Lössung näher gekommen. Wo bekomme ich das samba.schema her?
samba.schema ist im samba rpm enthalten. Du mußt aber noch weitere schema einschließen. z.B. cosine.schema, inetorgperson.schema, nis.schema.
Dann habe ich noch eine Fehlermeldung in der messages: Sep 9 23:05:11 server slapd[10387]: unable to open Berkeley db /etc/sasldb: No such file or directory
habe ich dir doch schon geschrieben, du mußt sasldb einrichten. Mittels saslpasswd -c -a ldap -u deine.domain Username. Näheres findest du unter man saslpasswd. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
participants (3)
-
Dieter Kluenter
-
Patrice Staudt
-
Stephan Hakuli