openldap: wie kann ich die von suse genutzten defaults ändern
Hoi zäme, ich bin ein ldapbastler, der versuch ein system zum laufen zu bringen, bei dem windows user gegen ein ldap verzeichnis authetifizieren. ich brauche das nur zu testzwecken, da ich software mache, die in einer solchen (nicht von mir verwalteten) umgebung funktionieren muss. Ich habe ein tutorial im netz gefunden, dass ich durcharbeiten will (ldap workshop von stephan kania). Leider funktionieren die da genutzten tools nicht mit der von suse genutzten konfiguration (der php basierte ldap manager LAM verlangt nis.schema und nicht rfc2307bis.schema). nun meine fragen: wie kann ich die von suse genutzten default schemas ändern? oder ist es zu empfehlen ganz auf den gebrauch von yast zu verzichten? anschlusfrage: gibt es andere gute tutorials, um eine umgebung einzurichten, wo sich windows und linux user gegen ldap authentifizieren? mein kunde braucht ActiveDirectory, das habe ich aber nicht (und begreife ich nicht). danke robert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Robert, robert rottermann schrieb:
Hoi zäme,
ich bin ein ldapbastler, der versuch ein system zum laufen zu bringen, bei dem windows user gegen ein ldap verzeichnis authetifizieren. ich brauche das nur zu testzwecken, da ich software mache, die in einer solchen (nicht von mir verwalteten) umgebung funktionieren muss.
Ich habe ein tutorial im netz gefunden, dass ich durcharbeiten will (ldap workshop von stephan kania).
Leider funktionieren die da genutzten tools nicht mit der von suse genutzten konfiguration (der php basierte ldap manager LAM verlangt nis.schema und nicht rfc2307bis.schema).
nun meine fragen: wie kann ich die von suse genutzten default schemas ändern?
oder ist es zu empfehlen ganz auf den gebrauch von yast zu verzichten?
anschlusfrage: gibt es andere gute tutorials, um eine umgebung einzurichten, wo sich windows und linux user gegen ldap authentifizieren? mein kunde braucht ActiveDirectory, das habe ich aber nicht (und begreife ich nicht).
Wenn dein Kunde AD braucht, dann geh ich davon aus, dass er es bereits hat. richte dein unix so ein, dass es user gegen AD authentifiziert, was ja auch ein LDAP hat :) somit können sich die user sowohl an Win, als auch an Linux/Unix anmelden. hier ein wenig info. attachment (kann via PM angefordert werden) Ich hab das fast so wie im Dokument beschrieben gemacht. Mit dem Unterschied, das ich keine "Anonyme" authentifizierung mache, da anonyme keine "Admin Gruppen" findet, sowie keine User, welche Mitglied einer Admingruppe sind. Ich kann zwar via ADSIEdit dem "Anonymous" leserechte auf diese Objekte geben, jedoch verschwinden die wieder nach kurzer Zeit. Hab noch nicht herausgefunden warum und ob/wie man das abstellt. Ansonsten viel Spaß beim basteln. Gruß Chris meine krb5.conf: [logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON [libdefaults] default_realm = DOMAIN.LOCAL clockskew = 300 [realms] DOMAIN.LOCAL = { kdc = 192.168.101.12 default_domain = domain.local admin_server = 192.168.101.12 kpasswd_server = 192.168.101.12 } [domain_realm] .domain.local = DOMAIN.LOCAL domain.local = DOMAIN.LOCAL #[kdc] # profile = /etc/krb5/kdc.conf [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false retain_after_close = false minimum_uid = 10000 try_first_pass = true debug = true } meine /etc/ldap.conf # Your LDAP server. Must be resolvable without using LDAP. host 192.168.101.12 # The distinguished name of the search base. base DC=domain,DC=local # The LDAP version to use (defaults to 3 # if supported by client library) ldap_version 3 # Don't try forever if the LDAP server is not reacheable bind_policy soft # The distinguished name to bind to the server with. # Optional: default is to bind anonymously. #binddn CN=Manager,DC=example,DC=com binddn CN=ADauth,CN=Users,DC=domain,DC=local # The credentials to bind with. # Optional: default is no credential. bindpw secret # The distinguished name to bind to the server with # if the effective user ID is root. Password is # stored in /etc/ldap.secret (mode 600) #rootbinddn CN=Manager,DC=example,DC=com # The port. # Optional: default is 389. #port 389 # The search scope. scope sub #scope one #scope base # Search timelimit #timelimit 30 # Bind timelimit #bind_timelimit 30 # Idle timelimit; client will close connections # (nss_ldap only) if the server has not been contacted # for the number of seconds specified below. #idle_timelimit 3600 # Filter to AND with uid=%s #pam_filter objectclass=account # The user ID attribute (defaults to uid) #pam_login_attribute uid # Search the root DSE for the password policy (works # with Netscape Directory Server). And make use of # Password Policy LDAP Control (as in OpenLDAP) #pam_lookup_policy yes # Check the 'host' attribute for access control # Default is no; if set to yes, and user has no # value for the host attribute, and pam_ldap is # configured for account management (authorization) # then the user will not be allowed to login. #pam_check_host_attr yes # Group to enforce membership of #pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com # Group member attribute #pam_member_attribute uniquemember # Specify a minium or maximum UID number allowed #pam_min_uid 0 #pam_max_uid 0 # Template login attribute, default template user # (can be overriden by value of former attribute # in user's entry) #pam_login_attribute userPrincipalName #pam_template_login_attribute uid #pam_template_login nobody # Do not hash the password at all; presume # the directory server will do it, if # necessary. This is the default. #pam_password clear # Hash password locally; required for University of # Michigan LDAP server, and works with Netscape # Directory Server if you're using the UNIX-Crypt # hash mechanism and not using the NT Synchronization # service. #pam_password crypt # Remove old password first, then update in # cleartext. Necessary for use with Novell # Directory Services (NDS) #pam_password nds # Update Active Directory password, by # creating Unicode password and updating # unicodePwd attribute. pam_password ad # Use the OpenLDAP password change # extended operation to update the password. #pam_password exop # Redirect users to a URL or somesuch on password # changes. #pam_password_prohibit_message Please visit http://internal to change your password. # RFC2307bis naming contexts # Syntax: # nss_base_XXX base?scope?filter # where scope is {base,one,sub} # and filter is a filter to be &'d with the # default filter. # You can omit the suffix eg: # nss_base_passwd ou=People, # to append the default base DN but this # may incur a small performance impact. nss_base_passwd DC=domain,DC=local?sub nss_base_shadow DC=domain,DC=local?sub nss_base_group DC=domain,DC=local?sub #nss_base_passwd ou=People,DC=padl,DC=com?one #nss_base_shadow ou=People,DC=padl,DC=com?one #nss_base_group ou=Group,DC=padl,DC=com?one #nss_base_hosts ou=Hosts,DC=padl,DC=com?one #nss_base_services ou=Services,DC=padl,DC=com?one #nss_base_networks ou=Networks,DC=padl,DC=com?one #nss_base_protocols ou=Protocols,DC=padl,DC=com?one #nss_base_rpc ou=Rpc,DC=padl,DC=com?one #nss_base_ethers ou=Ethers,DC=padl,DC=com?one #nss_base_netmasks ou=Networks,DC=padl,DC=com?ne #nss_base_bootparams ou=Ethers,DC=padl,DC=com?one #nss_base_aliases ou=Aliases,DC=padl,DC=com?one #nss_base_netgroup ou=Netgroup,DC=padl,DC=com?one # attribute/objectclass mapping # Syntax: #nss_map_attribute rfc2307attribute mapped_attribute #nss_map_objectclass rfc2307objectclass mapped_objectclass # configure --enable-nds is no longer supported. # For NDS now do: #nss_map_attribute uniqueMember member # configure --enable-mssfu-schema is no longer supported. # For MSSFU now do: nss_map_objectclass posixAccount User nss_map_objectclass shadowAccount User nss_map_objectclass posixGroup Group #nss_map_attribute uid sAMAccountName #nss_map_attribute uid uid #nss_map_attribute uidNumber msSFU30UidNumber #nss_map_attribute gidNumber msSFU30GidNumber nss_map_attribute uniqueMember member #nss_map_attribute userPassword msSFU30Password nss_map_attribute homeDirectory unixHomeDirectory #nss_map_attribute loginShell msSFU30LoginShell nss_map_attribute gecos cn #nss_map_attribute cn sAMAccountName pam_login_attribute sAMAccountName pam_filter objectclass=posixAccount # configure --enable-authpassword is no longer supported # For authPassword support, now do: #nss_map_attribute userPassword authPassword #pam_password nds # For IBM SecureWay support, do: #nss_map_objectclass posixAccount aixAccount #nss_map_attribute uid userName #nss_map_attribute gidNumber gid #nss_map_attribute uidNumber uid #nss_map_attribute userPassword passwordChar #nss_map_objectclass posixGroup aixAccessGroup #nss_map_attribute cn groupName #nss_map_attribute uniqueMember member #pam_login_attribute userName #pam_filter objectclass=aixAccount #pam_password clear # Netscape SDK LDAPS #ssl on # Netscape SDK SSL options #sslpath /etc/ssl/certs/cert7.db # OpenLDAP SSL mechanism # start_tls mechanism uses the normal LDAP port, LDAPS typically 636 #ssl start_tls #ssl on # OpenLDAP SSL options # Require and verify server certificate (yes/no) # Default is "no" #tls_checkpeer yes # CA certificates for server certificate verification # At least one of these are required if tls_checkpeer is "yes" #tls_cacertfile /etc/ssl/ca.cert #tls_cacertdir /etc/ssl/certs # SSL cipher suite # See man ciphers for syntax #tls_ciphers TLSv1 # Client certificate and key # Use these, if your server requires client authentication. #tls_cert #tls_key meine /etc/openldap/ldap.conf # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. #BASE dc=example, dc=com BASE DC=sit,DC=scorpio-it,DC=net #URI ldap://ldap.example.com ldap://ldap-master.example.com:666 HOST 192.168.101.12 BINDDN CN=ADauth,CN=Users,DC=domain,DC=local #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never #TLS_REQCERT allow dann noch meine /etc/security/pam_unix2.conf squid:~ # cat /etc/security/pam_unix2.conf # pam_unix2 config file # # This file contains options for the pam_unix2.so module. # It contains a list of options for every type of management group, # which will be used for authentication, account management and # password management. Not all options will be used from all types of # management groups. # # At first, pam_unix2 will read this file and then uses the local # options. Not all options can be set her global. # # Allowed options are: # # debug (account, auth, password, session) # nullok (auth) # md5 (password / overwrites /etc/default/passwd) # bigcrypt (password / overwrites /etc/default/passwd) # blowfish (password / overwrites /etc/default/passwd) # crypt_rounds=XX # none (session) # trace (session) # call_modules=x,y,z (account, auth, password) # # Example: # auth: nullok # account: # password: nullok blowfish crypt_rounds=8 # session: none # auth: use_krb5 use_ldap nullok account: use_krb5 use_ldap password: use_krb5 use_ldap nullok session: none # just for debugging debug: account auth password session Gruß Chris -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
FehlerTeufel :)
meine /etc/openldap/ldap.conf # # LDAP Defaults #
# See ldap.conf(5) for details # This file should be world readable but not world writable.
#BASE dc=example, dc=com BASE DC=sit,DC=scorpio-it,DC=net
BASE DC=domain,DC=local
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666 HOST 192.168.101.12 BINDDN CN=ADauth,CN=Users,DC=domain,DC=local
#SIZELIMIT 12 #TIMELIMIT 15 #DEREF never #TLS_REQCERT allow Chris -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
herzlichen dank, ich komme möchte eben eine umgebung hier haben, auf der ich nach herzenslust basteln kann. ausserdem ist das kundennetz total verramelt, ich komme da nur über ein rsa token ins vpn (und erst noch nur über windows). deshalb brauche ich hier eine vernünftige "sandbox" und vielleicht lerne ich dann endlich wie ldap, kerberos, windbind und konsorten miteinander ringelreihen tanzen .. aber ich nehme dein config file gerne als beispiel entgegen.. mit was für einem ldap browser/editor arbeitest du? gruss Christian schrieb:
Hi Robert,
robert rottermann schrieb:
Hoi zäme,
ich bin ein ldapbastler, der versuch ein system zum laufen zu bringen, bei dem windows user gegen ein ldap verzeichnis authetifizieren. ich brauche das nur zu testzwecken, da ich software mache, die in einer solchen (nicht von mir verwalteten) umgebung funktionieren muss.
Ich habe ein tutorial im netz gefunden, dass ich durcharbeiten will (ldap workshop von stephan kania).
Leider funktionieren die da genutzten tools nicht mit der von suse genutzten konfiguration (der php basierte ldap manager LAM verlangt nis.schema und nicht rfc2307bis.schema).
nun meine fragen: wie kann ich die von suse genutzten default schemas ändern?
oder ist es zu empfehlen ganz auf den gebrauch von yast zu verzichten?
anschlusfrage: gibt es andere gute tutorials, um eine umgebung einzurichten, wo sich windows und linux user gegen ldap authentifizieren? mein kunde braucht ActiveDirectory, das habe ich aber nicht (und begreife ich nicht).
Wenn dein Kunde AD braucht, dann geh ich davon aus, dass er es bereits hat. richte dein unix so ein, dass es user gegen AD authentifiziert, was ja auch ein LDAP hat :)
somit können sich die user sowohl an Win, als auch an Linux/Unix anmelden. hier ein wenig info.
attachment (kann via PM angefordert werden) Ich hab das fast so wie im Dokument beschrieben gemacht. Mit dem Unterschied, das ich keine "Anonyme" authentifizierung mache, da anonyme keine "Admin Gruppen" findet, sowie keine User, welche Mitglied einer Admingruppe sind. Ich kann zwar via ADSIEdit dem "Anonymous" leserechte auf diese Objekte geben, jedoch verschwinden die wieder nach kurzer Zeit. Hab noch nicht herausgefunden warum und ob/wie man das abstellt.
Ansonsten viel Spaß beim basteln. Gruß Chris
meine krb5.conf: [logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON
[libdefaults] default_realm = DOMAIN.LOCAL clockskew = 300
[realms] DOMAIN.LOCAL = { kdc = 192.168.101.12 default_domain = domain.local admin_server = 192.168.101.12 kpasswd_server = 192.168.101.12 }
[domain_realm] .domain.local = DOMAIN.LOCAL domain.local = DOMAIN.LOCAL
#[kdc] # profile = /etc/krb5/kdc.conf
[appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false retain_after_close = false minimum_uid = 10000 try_first_pass = true debug = true }
meine /etc/ldap.conf # Your LDAP server. Must be resolvable without using LDAP. host 192.168.101.12
# The distinguished name of the search base. base DC=domain,DC=local
# The LDAP version to use (defaults to 3 # if supported by client library) ldap_version 3
# Don't try forever if the LDAP server is not reacheable bind_policy soft
# The distinguished name to bind to the server with. # Optional: default is to bind anonymously. #binddn CN=Manager,DC=example,DC=com binddn CN=ADauth,CN=Users,DC=domain,DC=local
# The credentials to bind with. # Optional: default is no credential. bindpw secret
# The distinguished name to bind to the server with # if the effective user ID is root. Password is # stored in /etc/ldap.secret (mode 600) #rootbinddn CN=Manager,DC=example,DC=com
# The port. # Optional: default is 389. #port 389
# The search scope. scope sub #scope one #scope base
# Search timelimit #timelimit 30
# Bind timelimit #bind_timelimit 30
# Idle timelimit; client will close connections # (nss_ldap only) if the server has not been contacted # for the number of seconds specified below. #idle_timelimit 3600
# Filter to AND with uid=%s #pam_filter objectclass=account
# The user ID attribute (defaults to uid) #pam_login_attribute uid
# Search the root DSE for the password policy (works # with Netscape Directory Server). And make use of # Password Policy LDAP Control (as in OpenLDAP) #pam_lookup_policy yes # Check the 'host' attribute for access control # Default is no; if set to yes, and user has no # value for the host attribute, and pam_ldap is # configured for account management (authorization) # then the user will not be allowed to login. #pam_check_host_attr yes
# Group to enforce membership of #pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com
# Group member attribute #pam_member_attribute uniquemember
# Specify a minium or maximum UID number allowed #pam_min_uid 0 #pam_max_uid 0
# Template login attribute, default template user # (can be overriden by value of former attribute # in user's entry) #pam_login_attribute userPrincipalName #pam_template_login_attribute uid #pam_template_login nobody
# Do not hash the password at all; presume # the directory server will do it, if # necessary. This is the default. #pam_password clear
# Hash password locally; required for University of # Michigan LDAP server, and works with Netscape # Directory Server if you're using the UNIX-Crypt # hash mechanism and not using the NT Synchronization # service. #pam_password crypt
# Remove old password first, then update in # cleartext. Necessary for use with Novell # Directory Services (NDS) #pam_password nds
# Update Active Directory password, by # creating Unicode password and updating # unicodePwd attribute. pam_password ad
# Use the OpenLDAP password change # extended operation to update the password. #pam_password exop
# Redirect users to a URL or somesuch on password # changes. #pam_password_prohibit_message Please visit http://internal to change your password.
# RFC2307bis naming contexts # Syntax: # nss_base_XXX base?scope?filter # where scope is {base,one,sub} # and filter is a filter to be &'d with the # default filter. # You can omit the suffix eg: # nss_base_passwd ou=People, # to append the default base DN but this # may incur a small performance impact.
nss_base_passwd DC=domain,DC=local?sub nss_base_shadow DC=domain,DC=local?sub nss_base_group DC=domain,DC=local?sub #nss_base_passwd ou=People,DC=padl,DC=com?one #nss_base_shadow ou=People,DC=padl,DC=com?one #nss_base_group ou=Group,DC=padl,DC=com?one #nss_base_hosts ou=Hosts,DC=padl,DC=com?one #nss_base_services ou=Services,DC=padl,DC=com?one #nss_base_networks ou=Networks,DC=padl,DC=com?one #nss_base_protocols ou=Protocols,DC=padl,DC=com?one #nss_base_rpc ou=Rpc,DC=padl,DC=com?one #nss_base_ethers ou=Ethers,DC=padl,DC=com?one #nss_base_netmasks ou=Networks,DC=padl,DC=com?ne #nss_base_bootparams ou=Ethers,DC=padl,DC=com?one #nss_base_aliases ou=Aliases,DC=padl,DC=com?one #nss_base_netgroup ou=Netgroup,DC=padl,DC=com?one
# attribute/objectclass mapping # Syntax: #nss_map_attribute rfc2307attribute mapped_attribute #nss_map_objectclass rfc2307objectclass mapped_objectclass
# configure --enable-nds is no longer supported. # For NDS now do: #nss_map_attribute uniqueMember member
# configure --enable-mssfu-schema is no longer supported. # For MSSFU now do: nss_map_objectclass posixAccount User nss_map_objectclass shadowAccount User nss_map_objectclass posixGroup Group #nss_map_attribute uid sAMAccountName #nss_map_attribute uid uid #nss_map_attribute uidNumber msSFU30UidNumber #nss_map_attribute gidNumber msSFU30GidNumber nss_map_attribute uniqueMember member #nss_map_attribute userPassword msSFU30Password nss_map_attribute homeDirectory unixHomeDirectory #nss_map_attribute loginShell msSFU30LoginShell nss_map_attribute gecos cn #nss_map_attribute cn sAMAccountName pam_login_attribute sAMAccountName pam_filter objectclass=posixAccount
# configure --enable-authpassword is no longer supported # For authPassword support, now do: #nss_map_attribute userPassword authPassword #pam_password nds
# For IBM SecureWay support, do: #nss_map_objectclass posixAccount aixAccount #nss_map_attribute uid userName #nss_map_attribute gidNumber gid #nss_map_attribute uidNumber uid #nss_map_attribute userPassword passwordChar #nss_map_objectclass posixGroup aixAccessGroup #nss_map_attribute cn groupName #nss_map_attribute uniqueMember member #pam_login_attribute userName #pam_filter objectclass=aixAccount #pam_password clear
# Netscape SDK LDAPS #ssl on
# Netscape SDK SSL options #sslpath /etc/ssl/certs/cert7.db
# OpenLDAP SSL mechanism # start_tls mechanism uses the normal LDAP port, LDAPS typically 636 #ssl start_tls #ssl on
# OpenLDAP SSL options # Require and verify server certificate (yes/no) # Default is "no" #tls_checkpeer yes
# CA certificates for server certificate verification # At least one of these are required if tls_checkpeer is "yes" #tls_cacertfile /etc/ssl/ca.cert #tls_cacertdir /etc/ssl/certs
# SSL cipher suite # See man ciphers for syntax #tls_ciphers TLSv1
# Client certificate and key # Use these, if your server requires client authentication. #tls_cert #tls_key
meine /etc/openldap/ldap.conf # # LDAP Defaults #
# See ldap.conf(5) for details # This file should be world readable but not world writable.
#BASE dc=example, dc=com BASE DC=sit,DC=scorpio-it,DC=net #URI ldap://ldap.example.com ldap://ldap-master.example.com:666 HOST 192.168.101.12 BINDDN CN=ADauth,CN=Users,DC=domain,DC=local
#SIZELIMIT 12 #TIMELIMIT 15 #DEREF never #TLS_REQCERT allow
dann noch meine /etc/security/pam_unix2.conf squid:~ # cat /etc/security/pam_unix2.conf # pam_unix2 config file # # This file contains options for the pam_unix2.so module. # It contains a list of options for every type of management group, # which will be used for authentication, account management and # password management. Not all options will be used from all types of # management groups. # # At first, pam_unix2 will read this file and then uses the local # options. Not all options can be set her global. # # Allowed options are: # # debug (account, auth, password, session) # nullok (auth) # md5 (password / overwrites /etc/default/passwd) # bigcrypt (password / overwrites /etc/default/passwd) # blowfish (password / overwrites /etc/default/passwd) # crypt_rounds=XX # none (session) # trace (session) # call_modules=x,y,z (account, auth, password) # # Example: # auth: nullok # account: # password: nullok blowfish crypt_rounds=8 # session: none # auth: use_krb5 use_ldap nullok account: use_krb5 use_ldap password: use_krb5 use_ldap nullok session: none
# just for debugging debug: account auth password session
Gruß Chris
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
robert rottermann schrieb:
mit was für einem ldap browser/editor arbeitest du?
Wenn du einen Suse Ldap nutzt benutze Yast (Ldap-server und Client Paket). Aus eigener Erfahrung würde ich aber dazu raten einen lam ohne Suse-Sonderlocken wie 3270 Schmema aufzusetzten. Damit wird es deutlich leichter Gruppenabfragen aus Apache und pam_mount zu realisieren. Als Browser nutze ich lam. Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
hier meine lösung für "spätere generationen" what I finaly did is the following (making Yast unusable for handling ldap) so for the sake of other pour souls trying to do the same I sketch out my solution.. - delete both the content of - /var/lib/ldap - /etc/openldap/slapd.d keep the folders tough do not! start ldap (using rcldap or yast) as this would recreate the database start slapd with the following parameters (assuming that you have edited /etc/openldap/slapd.conf according to your needs. /usr/lib/openldap/slapd -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d -u ldap -g ldap -o slp=off -d 1 man slapd explains the used parameter. important is the fact, that using both -f and -F forces slapd to convert the oldstyle config file (slapd.conf) into a newstyle config database (in slapd.d) robert robert rottermann schrieb:
Hoi zäme,
ich bin ein ldapbastler, der versuch ein system zum laufen zu bringen, bei dem windows user gegen ein ldap verzeichnis authetifizieren. ich brauche das nur zu testzwecken, da ich software mache, die in einer solchen (nicht von mir verwalteten) umgebung funktionieren muss.
Ich habe ein tutorial im netz gefunden, dass ich durcharbeiten will (ldap workshop von stephan kania).
Leider funktionieren die da genutzten tools nicht mit der von suse genutzten konfiguration (der php basierte ldap manager LAM verlangt nis.schema und nicht rfc2307bis.schema).
nun meine fragen: wie kann ich die von suse genutzten default schemas ändern?
oder ist es zu empfehlen ganz auf den gebrauch von yast zu verzichten?
anschlusfrage: gibt es andere gute tutorials, um eine umgebung einzurichten, wo sich windows und linux user gegen ldap authentifizieren? mein kunde braucht ActiveDirectory, das habe ich aber nicht (und begreife ich nicht).
danke robert
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Christian -
Ralf Prengel -
robert rottermann