Habe da noch eine Frage: Nachdem ich ohnehin alles neu machen will, würde ich nun auch gerne das mit einem richtigen OpenLDAP-Server in Angriff nehmen. Das ist der letzte Stand den ich mal vor einiger Zeit im Internet fand: --- Wenn du wirklich die Anwenderverwaltung auf einen Verzeichnisdienst übertragen möchtest, solltest du mit der aktuellen Version OpnLDAP beginnen, dazu benötigst du dann noch mindestens BerkeleDB-4.1.25, ältere BDB Versionen werden nicht von den neuen OpenLDAP Versionen unterstützt. Weiter benötigst du cyrus-sasl-2.1.12 oder besser, als Samba verwende ich samba-3.0alpha21, ich denke aber daß 2.2.8 mit einkompilierter ldap Unterstützung ausreicht. Wenn du ausschließlich W2K Clients hast, würde ich noch MIT Kerberos krb5-1.2.6 empfehlen, da W2K natives MIT Kerberos unterstützt und da dann in Verbindung mit OpenLDAP und Samba fast einen ActiveDirectory Ersatz hast. Es ist zwar wenig bekannt und auch kaum dokumentiert, aber cyrus-sasl und damit alle damit möglichen Mechanismen können auch auf W2K und NT kompiliert und installiert werden. Damit bietet sich dann auch eine DIGEST-MD5 Challenge oder GSSAPI an. --- Meine Frage ist nun gibt es irgendwie ein spezifisches Howto wo ich mal reinlesen kann wenn ich OpenLDAP, Postgress, Postfix und Cyrus auf meiner Maschine betreiben will. Was zu beachten, wo was zu konfigurieren ist usw. Ich weiß, dass es da z.B. den SLOX von SuSE gibt, der das alles schon drin hat, aber ich würde gerne verstehen was da intern passiert. Grüße Robert
Robert <pct1004@roottec.com> writes:
Habe da noch eine Frage: Nachdem ich ohnehin alles neu machen will, würde ich nun auch gerne das mit einem richtigen OpenLDAP-Server in Angriff nehmen.
Das ist der letzte Stand den ich mal vor einiger Zeit im Internet fand: --- Wenn du wirklich die Anwenderverwaltung auf einen Verzeichnisdienst übertragen möchtest, solltest du mit der aktuellen Version OpnLDAP beginnen, dazu benötigst du dann noch mindestens BerkeleDB-4.1.25, ältere BDB Versionen werden nicht von den neuen OpenLDAP Versionen unterstützt. Weiter benötigst du cyrus-sasl-2.1.12 oder besser, als Samba verwende ich samba-3.0alpha21, ich denke aber daß 2.2.8 mit einkompilierter ldap Unterstützung ausreicht. Wenn du ausschließlich W2K Clients hast, würde ich noch MIT Kerberos krb5-1.2.6 empfehlen, da W2K natives MIT Kerberos unterstützt und da dann in Verbindung mit OpenLDAP und Samba fast einen ActiveDirectory Ersatz hast.
Es ist zwar wenig bekannt und auch kaum dokumentiert, aber cyrus-sasl und damit alle damit möglichen Mechanismen können auch auf W2K und NT kompiliert und installiert werden. Damit bietet sich dann auch eine DIGEST-MD5 Challenge oder GSSAPI an. ---
Meine Frage ist nun gibt es irgendwie ein spezifisches Howto wo ich mal reinlesen kann wenn ich OpenLDAP, Postgress, Postfix und Cyrus auf meiner Maschine betreiben will. Was zu beachten, wo was zu konfigurieren ist usw. Ich weiß, dass es da z.B. den SLOX von SuSE gibt, der das alles schon drin hat, aber ich würde gerne verstehen was da intern passiert.
Die zitierte Stelle ist im Prinzip richtig, nur hat sich inzwischen die Welt weitergedreht und die Versionen und auch sonst einiges verändert. Wenn du eine umfassende Information haben möchtest, die allerdings nicht mehr auf dem neuesten Stand ist, geh zu dem Buchhändler deines Vertrauens und gib 36.-- EUR aus :-) Im Internet wirst du keine altuelle Beschreibung eines kompletten Lösungsansatzes finden, wohl aber einige wenige Teillösungen. Um auf dem aktuellen Stand zu sein benötigst du Cyrus-SASL-2.1.20 BerkeleyDB-4.3.21 Heimdal Kerberos-0.6 oder MIT KRB5-1.3.1 OpenLDAP-2.2.19 (verfügbar in den nächsten Tagen) OpenSSL-0.9.7 Samba-3.x Als Start sieh dir mal meine Signatur an. Wenn du dir dann selbst bewußt bist, was du wirklich realisieren möchtest, dann frage noch einmal. Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo Dieter, nachdem ich mich nun durch diverse Dokumente gelesen habe komme ich nun auf Dein Angebot mit den weiteren Fragen zurück... Dieter Kluenter wrote:
Robert <pct1004@roottec.com> writes:
Habe da noch eine Frage: Nachdem ich ohnehin alles neu machen will, würde ich nun auch gerne das mit einem richtigen OpenLDAP-Server in Angriff nehmen.
Das ist der letzte Stand den ich mal vor einiger Zeit im Internet fand: --- Wenn du wirklich die Anwenderverwaltung auf einen Verzeichnisdienst übertragen möchtest, solltest du mit der aktuellen Version OpnLDAP beginnen, dazu benötigst du dann noch mindestens BerkeleDB-4.1.25, ältere BDB Versionen werden nicht von den neuen OpenLDAP Versionen unterstützt. Weiter benötigst du cyrus-sasl-2.1.12 oder besser, als Samba verwende ich samba-3.0alpha21, ich denke aber daß 2.2.8 mit einkompilierter ldap Unterstützung ausreicht. Wenn du ausschließlich W2K Clients hast, würde ich noch MIT Kerberos krb5-1.2.6 empfehlen, da W2K natives MIT Kerberos unterstützt und da dann in Verbindung mit OpenLDAP und Samba fast einen ActiveDirectory Ersatz hast.
Es ist zwar wenig bekannt und auch kaum dokumentiert, aber cyrus-sasl und damit alle damit möglichen Mechanismen können auch auf W2K und NT kompiliert und installiert werden. Damit bietet sich dann auch eine DIGEST-MD5 Challenge oder GSSAPI an. ---
Meine Frage ist nun gibt es irgendwie ein spezifisches Howto wo ich mal reinlesen kann wenn ich OpenLDAP, Postgress, Postfix und Cyrus auf meiner Maschine betreiben will. Was zu beachten, wo was zu konfigurieren ist usw. Ich weiß, dass es da z.B. den SLOX von SuSE gibt, der das alles schon drin hat, aber ich würde gerne verstehen was da intern passiert.
Die zitierte Stelle ist im Prinzip richtig, nur hat sich inzwischen die Welt weitergedreht und die Versionen und auch sonst einiges verändert.
Wenn du eine umfassende Information haben möchtest, die allerdings nicht mehr auf dem neuesten Stand ist, geh zu dem Buchhändler deines Vertrauens und gib 36.-- EUR aus :-)
Im Internet wirst du keine altuelle Beschreibung eines kompletten Lösungsansatzes finden, wohl aber einige wenige Teillösungen.
Um auf dem aktuellen Stand zu sein benötigst du
Cyrus-SASL-2.1.20 BerkeleyDB-4.3.21 Heimdal Kerberos-0.6 oder MIT KRB5-1.3.1 OpenLDAP-2.2.19 (verfügbar in den nächsten Tagen) OpenSSL-0.9.7 Samba-3.x
Als Start sieh dir mal meine Signatur an. Wenn du dir dann selbst bewußt bist, was du wirklich realisieren möchtest, dann frage noch einmal.
Also was ich bauen möchte ist: a) SSO für die lokale Benutzerverwaltung, Samba & SSH später ... na wir werden sehen. b) soll ich alle SuSE Pakete am Besten rauswerfen und durch die aktuellen von Pacman ersetzen? Zudem: gibt es immer noch gewisse Verständnisproblem bei einigen Dingen. So z.B.: c) bdb: Das ist ja doch auch eine vollwertige und - soweit ich es verstand - äußerst effiziente Datenbank. Warum also noch eine externe SQL-Engine in Form von MySQL oder Postgress? Was bringt das für Vorteile? Entwicklerseitig: Weniger native Treiber?... oder warum? d) während meiner Suche und Leserei ich hab das hier gefunden: http://samba.mirror.aarnet.edu.au/samba/docs/man/Samba-HOWTO-Collection/pass... ab der Passage "OpenLDAP Configuration To include support for the sambaSamAccount object..." findet sich eine recht detailierte Beschreibung für die Einbindung von Samba in OpenLDAP. Ist das Originalschema /etc/openldap/schema/samba3.schema das mit der SuSE ok? e) Was ich mich jetzt zudem frage ist, wie sich das nun mit der lokalen Benutzerverwaltung verhält? Zum Einen: Wie binde ich die lokale Benutzerverwaltung an LDAP und dann noch wichtiger: Wenn die verbunden sind wie wird die Benutzerverwaltung erreicht? Per YAST danach sicher nicht mehr -richtig? Die LDAP Manipulation per ldif ist eigentlich nicht so 'ganz' das, was ich mir da vorstelle. Was empfiehlst Du dafür? Ach so bevor ich es vergesse: Es handelt sich nicht um eine Rieseninstallation, sondern primär um eine Testinstallation an der ich lernen kann. Grüße Robert
Noch als Ergänzung zum gestrigen Post: Nach dem Durcharbeiten des OpenLDAP Quick-Start Guide versuchte ich mich mit dem LDAP-Client (später mit dem Benutzermanager) der mit SuSE (9.2) kommt an den (laufenden lokalen) LDAP Server (localhost bzw. 127.0.0.1) zu verbinden. Irgendwie geht das nicht. Da kommt immer eine Meldung dass er sich nicht mit dem Server verbinden kann. Der ldapsearch aus dem Quick-Start guide liefert aber Ergebnisse. Habe ich da was falsch gemacht? Habe ich mglw. irgendwelche Angaben im Ursprungs-ldif vergessen. Wenn ja lässt sich das gesamte LDAP Verzeichnis löschen, um vom Neuen zu beginnen? In der Weise wie ich die mit ldapadd in umgekehrter Folge lassen sich die beiden Einträge leider nicht mehr mit ldapdelete löschen. Grüße Robert
Robert <pct1004@roottec.com> writes:
Noch als Ergänzung zum gestrigen Post:
Nach dem Durcharbeiten des OpenLDAP Quick-Start Guide versuchte ich mich mit dem LDAP-Client (später mit dem Benutzermanager) der mit SuSE (9.2) kommt an den (laufenden lokalen) LDAP Server (localhost bzw. 127.0.0.1) zu verbinden. Irgendwie geht das nicht. Da kommt immer eine Meldung dass er sich nicht mit dem Server verbinden kann.
Du hast möglicherweise die /etc/nsswitch.conf und /etc/ldap.conf noch nicht richtig konfiguriert
Der ldapsearch aus dem Quick-Start guide liefert aber Ergebnisse.
Habe ich da was falsch gemacht? Habe ich mglw. irgendwelche Angaben im Ursprungs-ldif vergessen. Wenn ja lässt sich das gesamte LDAP Verzeichnis löschen, um vom Neuen zu beginnen? In der Weise wie ich die mit ldapadd in umgekehrter Folge lassen sich die beiden Einträge leider nicht mehr mit ldapdelete löschen.
Ob du Daten in der ersten .ldif vergessen hast, kannn ich nicht beurteilen :-) Wenn du alle Daten löschen möchtest ist die einfache Methode, alle Dateien unterhalb von /var/lib/ldap (oder in welchen Verzeichnis die Daten auch liegen) zu löschen, mit Ausnahme der Datei DB_CONFIG, die wird benötigt, wenn du anschließend mit slapadd eine .ldif DAtei wieder einliest. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo, Robert <pct1004@roottec.com> writes:
Hallo Dieter,
nachdem ich mich nun durch diverse Dokumente gelesen habe komme ich nun auf Dein Angebot mit den weiteren Fragen zurück...
Dieter Kluenter wrote:
Robert <pct1004@roottec.com> writes:
[...]
Im Internet wirst du keine altuelle Beschreibung eines kompletten Lösungsansatzes finden, wohl aber einige wenige Teillösungen. Um auf dem aktuellen Stand zu sein benötigst du Cyrus-SASL-2.1.20 BerkeleyDB-4.3.21 Heimdal Kerberos-0.6 oder MIT KRB5-1.3.1 OpenLDAP-2.2.19 (verfügbar in den nächsten Tagen) OpenSSL-0.9.7 Samba-3.x Als Start sieh dir mal meine Signatur an. Wenn du dir dann selbst bewußt bist, was du wirklich realisieren möchtest, dann frage noch einmal.
Also was ich bauen möchte ist: a) SSO für die lokale Benutzerverwaltung, Samba & SSH später ... na wir werden sehen.
Single Sign On in der Reinkultur wird es noch nicht geben, auch ein Single Point of Administration ist noch Zukunftsmusik, da es immer noch Anwendungen gibt, die eine eigene Benutzerverwaltung betreiben, z.B. Cups, Postgresql usw.. Aber durch geschickte Kombination der Authentifizierungssysteme kannst du die Anzahl der täglichen Authentifizierungsprozesse drastisch reduzieren, insbesondere X.509 Zertifikate und GSSAPI erbringen in meinem lokalen Netzwerk ca. 80% aller Authentifizierungen.
b) soll ich alle SuSE Pakete am Besten rauswerfen und durch die aktuellen von Pacman ersetzen?
Nein, nicht alle SuSE-Pakete, sonst wirst du Probleme bekommen. Aber eine aktuelle Version von BerkeleyDB würde ich selbst kompilieren und zusätzlich parallel installieren, dazu dann noch OPenLDAP-2.2.19. OpenLDAP benötigt mindesten Cyrus-SASL-2.1.16, da solltest du dein System prüfen.
Zudem: gibt es immer noch gewisse Verständnisproblem bei einigen Dingen. So z.B.:
c) bdb: Das ist ja doch auch eine vollwertige und - soweit ich es verstand - äußerst effiziente Datenbank. Warum also noch eine externe SQL-Engine in Form von MySQL oder Postgress? Was bringt das für Vorteile? Entwicklerseitig: Weniger native Treiber?... oder warum?
Das hängt davon ab. was du machen möchtest. BerkeleyDB ist ein Database Management System, aber kein RDBM. MySQL z.B. benutzt BerkeleyDB als storage backend, in deinem Handy wird mit großer Wahrscheinlichkeit BerkeleyDB dein Adressbuch verwalten, aber nicht als SQL RDBM, sondern als schlichte Hash Tabelle. SQL ist eine sehr performante Sprache um aus einzelnen Elementen ein Objekt zu erstellen, aber die einzelnen Elemente müssen auch verwaltet und sehr schnell bereitgestellt werden. OPenLDAP, als hierarchisch strukturierte Objektdatenbank, benutzt BerkeleyDB ebenfalls als storage backend.
d) während meiner Suche und Leserei ich hab das hier gefunden: http://samba.mirror.aarnet.edu.au/samba/docs/man/Samba-HOWTO-Collection/pass... ab der Passage "OpenLDAP Configuration To include support for the sambaSamAccount object..." findet sich eine recht detailierte Beschreibung für die Einbindung von Samba in OpenLDAP. Ist das Originalschema /etc/openldap/schema/samba3.schema das mit der SuSE ok?
Soweit ich weiß, ja
e) Was ich mich jetzt zudem frage ist, wie sich das nun mit der lokalen Benutzerverwaltung verhält?
Zum Einen: Wie binde ich die lokale Benutzerverwaltung an LDAP und dann noch wichtiger:
Dies ist die Aufgabe von PAM und den entsprechenden Modulen ldap_nsswitch und pam_ldap
Wenn die verbunden sind wie wird die Benutzerverwaltung erreicht? Per YAST danach sicher nicht mehr -richtig? Die LDAP Manipulation per ldif ist eigentlich nicht so 'ganz' das, was ich mir da vorstelle. Was empfiehlst Du dafür?
Die Anwenderverwaltung wird nach wie vor über Yast erfolgen, libpam schreibt dann nur nicht mehr in /etc/passwd sondern benutzt das Modul pam_ldap
Ach so bevor ich es vergesse: Es handelt sich nicht um eine Rieseninstallation, sondern primär um eine Testinstallation an der ich lernen kann.
Das ist OK, ob ein einzelner Anwender oder viele tausend Anwender, die administrativen Schritte bleiben gleich. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo Dieter, also: Danke erstmal für die geduldige Antwort in a) :-)) Dieter Kluenter wrote:
b) soll ich alle SuSE Pakete am Besten rauswerfen und durch die aktuellen von Pacman ersetzen? ... eine aktuelle Version von BerkeleyDB würde ich selbst kompilieren und zusätzlich parallel installieren, dazu dann noch
habe ich bereits gemacht. BDB ist die aktuellste am Sa. frisch von der Berkley Seite geladen. Die spielt auch wohl einwandfrei mit LDAP. Zumindest kamen während der ldapadd s keine Fehlermeldungen.
OPenLDAP-2.2.19. OpenLDAP benötigt mindesten Cyrus-SASL-2.1.16, da solltest du dein System prüfen.
OpenLDAP 2.2.15 (Original SuSE 9.2 DVD) Cyrus-SASL-2.1.19-7.2 (Original SuSE 9.2 DVD) bei letzterem: Sind da noch irgendwelche Plugins wie -Plain oder -MD5 -GSSAPI nötig?
Das hängt davon ab. was du machen möchtest. BerkeleyDB ist ein Database Management System, aber kein RDBM.
Ok alles klar. Ein schnelles Filesystem also. Ich kann mich dumpf erinnern, dass MySQL - war das nicht 2001 herum - eine massive Änderung vornahm? Die alte RDBM hatte seinerzeit noch keine Transaktionsfähigkeit und war meines Wissens ein monolithischer SQL-Server, wie es MS-SQL heute wohl immer noch ist.
OPenLDAP, als hierarchisch strukturierte Objektdatenbank, benutzt BerkeleyDB ebenfalls als storage backend. ... auch klar jetzt. Danke.
LDAP/PAM: Wenn die verbunden sind wie wird die Benutzerverwaltung erreicht? Per ... Die Anwenderverwaltung wird nach wie vor über Yast erfolgen, libpam schreibt dann nur nicht mehr in /etc/passwd sondern benutzt das Modul pam_ldap
und das schreibt dann nur in LDAP (respektive die BDB-Struktur die von LDAP verwaltet wird). Samba und alles andere (z.B. ein Mailsystem, Apache usw.) die greifen auch auf pam_ldap zu? <<aus dem Ergänzungs-Post>> ...
eine Meldung dass er sich nicht mit dem Server verbinden kann.
Du hast möglicherweise die /etc/nsswitch.conf und /etc/ldap.conf noch nicht richtig konfiguriert
/etc/nsswitch: passwd: und group: steht beides auf compat. Ist das auch wieder SuSE spezifisch? Alles was ich bislang las sollte da ldap files nis oder sowas stehen. Vielleicht auch die Beschreibung etwas outdatet - Du hattest ja etwas diesbezgl. erwähnt. Soll ich compat raus und für ldap reinstellen? Muss ich das was in passwd aktuelle drinsteht irgendwie mit diesen PADL tools in ldif konvertieren? Oder geht das mit SuSE automagisch? /etc/ldap.conf host 127.0.0.1 base dc=myomy,dc=local ldap_version 3 pam_password crypt ssl start_tls nss_map_attribute uniqueMember member pam_filter objectclass=posixAccount nss_base_passwd dc=myomy,dc=local nss_base_shadow dc=myomy,dc=local nss_base_group dc=myomy,dc=local
Ob du Daten in der ersten .ldif vergessen hast, kannn ich nicht beurteilen :-)
Ein anderer Listenteilnehmer der mir per PM schrieb hat wohl überhaupt nichts per ldif angelegt. Legen die SuSE-Automatismen dann von sich aus die entsprechenden LDAP-Minimaleinträge vor? Ich hatte auf jeden Fall folgendes gemacht. (vielleicht war ja genau das falsch? - grübel... - ich denke ich werde das einfach morgen nochmal mit gelöschtem /var/lib/ldap probieren). Ok also zurück zu meinen Dingen hier: /etc/openldap/slapd.conf database bdb suffix "dc=myomy,dc=local" rootdn "cn=Manager,dc=myomy,dc=local" Meine initial.ldif sah so aus (nach dem Quickstart Guide): dn: dc=myomy,dc=local objectclass: dcObject objectclass: organization o: mein Bauchladen dc: myomy dn: cn=Manager,dc=myomy,dc=local objectclass: organizationalRole cn: Manager mit # ldapadd -x -D "cn=Manager,dc=myomy,dc=local" -W -f initial.ldif erstellte ich diesen Eintrag in LDAP. ldapsearch -x -b 'dc=myomy,dc=local' '(objectclass=*)' lieferte auch brav 'mein Bauchladen' etc. Wenn ich den YAST LDAPclient starte dann schaffte ich aber die Verbindung zum Server nicht. Was muss ich denn da an Parametern in den Dialogen angeben, dass der mir auf 127.0.0.1 verbindet? Ich habe auch mit dem MyLdapKlient probiert zu connecten. Da kam zumindest kein Fehler aber ist geschah sonst nichts.
Wenn du alle Daten löschen möchtest ist die einfache Methode, alle Dateien unterhalb von /var/lib/ldap (oder in welchen Verzeichnis die Daten auch liegen) zu löschen, mit Ausnahme der Datei DB_CONFIG, die wird benötigt, wenn du anschließend mit slapadd eine .ldif DAtei wieder einliest.
Ok. Werde ich befolgen. Danke einstweilen mal. Robert
Robert <pct1004@roottec.com> writes:
Hallo Dieter,
also: Danke erstmal für die geduldige Antwort in a) :-))
Dieter Kluenter wrote:
b) soll ich alle SuSE Pakete am Besten rauswerfen und durch die aktuellen von Pacman ersetzen? ... eine aktuelle Version von BerkeleyDB würde ich selbst kompilieren und zusätzlich parallel installieren, dazu dann noch
habe ich bereits gemacht. BDB ist die aktuellste am Sa. frisch von der Berkley Seite geladen. Die spielt auch wohl einwandfrei mit LDAP. Zumindest kamen während der ldapadd s keine Fehlermeldungen.
Die SuSE OpenLDaP-2.2.15 ist nicht für BerkeleyDB-4.3.x kompiliert, also wirst du noch eine libdb-4.1.so und libdb-4.2.so auf deinem System haben.
OPenLDAP-2.2.19. OpenLDAP benötigt mindesten Cyrus-SASL-2.1.16, da solltest du dein System prüfen.
OpenLDAP 2.2.15 (Original SuSE 9.2 DVD) Cyrus-SASL-2.1.19-7.2 (Original SuSE 9.2 DVD)
bei letzterem: Sind da noch irgendwelche Plugins wie -Plain oder -MD5 -GSSAPI nötig?
Ja, Digest-MD5, Cram-MD5
Das hängt davon ab. was du machen möchtest. BerkeleyDB ist ein Database Management System, aber kein RDBM.
Ok alles klar. Ein schnelles Filesystem also. Ich kann mich dumpf erinnern, dass MySQL - war das nicht 2001 herum - eine massive Änderung vornahm? Die alte RDBM hatte seinerzeit noch keine Transaktionsfähigkeit und war meines Wissens ein monolithischer SQL-Server, wie es MS-SQL heute wohl immer noch ist.
OPenLDAP, als hierarchisch strukturierte Objektdatenbank, benutzt BerkeleyDB ebenfalls als storage backend. ... auch klar jetzt. Danke.
LDAP/PAM: Wenn die verbunden sind wie wird die Benutzerverwaltung erreicht? Per ... Die Anwenderverwaltung wird nach wie vor über Yast erfolgen, libpam schreibt dann nur nicht mehr in /etc/passwd sondern benutzt das Modul pam_ldap
und das schreibt dann nur in LDAP (respektive die BDB-Struktur die von LDAP verwaltet wird). Samba und alles andere (z.B. ein Mailsystem, Apache usw.) die greifen auch auf pam_ldap zu?
Nein, Samba kann, muß aber nicht über PAM authentifizieren, Apache hat sein eigenes LDAP Modul (auth_ldap), SMTP (Postfix,Sendmail usw.) und IMAP sind verbindungsorientierte Prokolle, die über SASL (RFC 2222) authentifizieren.
<<aus dem Ergänzungs-Post>> ...
eine Meldung dass er sich nicht mit dem Server verbinden kann.
Du hast möglicherweise die /etc/nsswitch.conf und /etc/ldap.conf noch nicht richtig konfiguriert
/etc/nsswitch: passwd: und group: steht beides auf compat. Ist das auch wieder SuSE spezifisch? Alles was ich bislang las sollte da ldap files nis oder sowas stehen. Vielleicht auch die Beschreibung etwas outdatet - Du hattest ja etwas diesbezgl. erwähnt. Soll ich compat raus und für ldap reinstellen? Muss ich das was in passwd aktuelle drinsteht irgendwie mit diesen PADL tools in ldif konvertieren? Oder geht das mit SuSE automagisch?
Ich würde passwd und group auf 'ldap files' setzen, wenn alle User schon im LDAP enthalten sind, vorher noch auf 'files ldap'. Wenn du nicht von Anfang an die Authetifizierung über LDAP gemacht hast, sondern erst später damit beginnst, wirst du wohl die realen User aus /etc/passwd in eine ldif konvertieren. Die Systemuser würde ich in /etc/passwd belassen.
/etc/ldap.conf host 127.0.0.1 base dc=myomy,dc=local ldap_version 3 pam_password crypt ssl start_tls nss_map_attribute uniqueMember member pam_filter objectclass=posixAccount nss_base_passwd dc=myomy,dc=local nss_base_shadow dc=myomy,dc=local nss_base_group dc=myomy,dc=local
Ob du Daten in der ersten .ldif vergessen hast, kannn ich nicht beurteilen :-)
Ein anderer Listenteilnehmer der mir per PM schrieb hat wohl überhaupt nichts per ldif angelegt. Legen die SuSE-Automatismen dann von sich aus die entsprechenden LDAP-Minimaleinträge vor?
Nur, wenn du bei der Einrichtung des Systems schon die Authentifierung über LDAP eingerichtet hast.
Ich hatte auf jeden Fall folgendes gemacht. (vielleicht war ja genau das falsch? - grübel... - ich denke ich werde das einfach morgen nochmal mit gelöschtem /var/lib/ldap probieren).
Ok also zurück zu meinen Dingen hier:
/etc/openldap/slapd.conf database bdb suffix "dc=myomy,dc=local" rootdn "cn=Manager,dc=myomy,dc=local"
Meine initial.ldif sah so aus (nach dem Quickstart Guide):
dn: dc=myomy,dc=local objectclass: dcObject objectclass: organization o: mein Bauchladen dc: myomy
dn: cn=Manager,dc=myomy,dc=local objectclass: organizationalRole cn: Manager
mit # ldapadd -x -D "cn=Manager,dc=myomy,dc=local" -W -f initial.ldif
erstellte ich diesen Eintrag in LDAP. ldapsearch -x -b 'dc=myomy,dc=local' '(objectclass=*)'
lieferte auch brav 'mein Bauchladen' etc.
Wenn ich den YAST LDAPclient starte dann schaffte ich aber die Verbindung zum Server nicht. Was muss ich denn da an Parametern in den Dialogen angeben, dass der mir auf 127.0.0.1 verbindet? Ich habe auch mit dem MyLdapKlient probiert zu connecten. Da kam zumindest kein Fehler aber ist geschah sonst nichts.
Was ist YAST LDAPClient? Was ist MyLdapKlient? Das sind Tools die ich noch nie gesehen habe, daher können sie auch nichts taugen :-) Installiere 'gq' sofern das noch von SuSE ausgeliefert wird, dieses Tool hilft dir, die Struktur zu verstehen. [...] -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
participants (2)
-
Dieter Kluenter -
Robert