ldap suse 9.0 / samba 3.0
hallo liste ich möchte gerne unter suse 9.0 ldap für user-accounts und samba einrichen. habe mich so schlecht und recht bisher durchgekämpft und stehe jetzt wirklich an. ich weiss nicht on meine datenstruktur einen fehler hat, oder ob ich was nicht verstanden habe. ich kann zb. mit gq die ldap-struktur browsen. was ist hier falsch (invalid DN-syntax)? ldapsearch -d 256 -x -b -D "dc=stag,dc=ch" -b ' ' -s base supportedSASLmechanisms request 1 done # extended LDIF # LDAPv3 # base < > with scope base # filter: dc=stag,dc=ch # requesting: supportedSASLmechanisms request 2 done # search result search: 2 result: 34 Invalid DN syntax text: invalid DN leider verstehe ich den fehler nicht. kann mir jemand weiterhelfen? hier meine slapd.conf include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/openldap.schema include /etc/openldap/schema/yast2userconfig.schema include /etc/openldap/schema/samba3.schema pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args schemacheck on allow bind_v2 access to * by self write by users read by anonymous auth database bdb checkpoint 1024 5 cachesize 10000 suffix "dc=stag,dc=ch" rootdn "cn=admin,dc=stag,dc=ch" rootpw {SSHA}+BfWFWipUzLl1oCgGGglX0WKw1YbdADk directory /var/lib/ldap index objectClass eq gibt es irgendwo eine schritt- zu schrittanweisung für meine aufgabenstellung? herzlich dank für jede hilfe und jeden guten tipp! bernhard buehler
Hallo,
Bernhard Buehler
hallo liste
ich möchte gerne unter suse 9.0 ldap für user-accounts und samba einrichen. habe mich so schlecht und recht bisher durchgekämpft und stehe jetzt wirklich an. ich weiss nicht on meine datenstruktur einen fehler hat, oder ob ich was nicht verstanden habe. ich kann zb. mit gq die ldap-struktur browsen.
was ist hier falsch (invalid DN-syntax)? ldapsearch -d 256 -x -b -D "dc=stag,dc=ch" -b ' ' -s base supportedSASLmechanisms request 1 done # extended LDIF # LDAPv3 # base < > with scope base # filter: dc=stag,dc=ch # requesting: supportedSASLmechanisms
Sieh dir mal deinen Suchstring genau an und interpretiere einmal Schritt für Schritt deine Optionen. Du möchtest ldapsearch im (-d) Debugging Modus 256 laufen lassen, initiierst ein simple bind (-x), möchtest die Suchbasis (-b) -D dc=stag,dc=ch durchsuchen, dann erneut die Suchbasis rootDSE durchsuchen( -b '') und als Scope möchtest du base. Das kann ja nicht gutgehen.:-( versuche einmal ldapsearch -d3 -x -b "" -s base + das sollte helfen, das Plus (+) bedeutet daß operationale Attribute ausgegeben werden. rootDSE muß anonym durchsucht werden können, daher muß du dich nicht unbedingt mit einem Distinguished Name (-D) binden.Die access rules hierfür sollten lauten access to dn.base=""by * read Debugging Modus 256 macht bei Clients keinen Sinn, da nur Serverstatistik in diesem Modus ausgewertet wird. Im Debugging Modus 3 wird die Verbindung zwischen Client und Server protokolliert.
gibt es irgendwo eine schritt- zu schrittanweisung für meine aufgabenstellung?
http://www.openldap.org/doc/admin22/ oder kaufe das beste deutschsprachige Buch zum Thema LDAP/OpenLDAP. -Dieter -- Dieter Klünter | Systemberatung http://www.avci.de GPG Key ID:8C183C8622115328
Hallo Dieter vorab herzlichen dank, dass du dich meinem problem angenommen hast. ich bin nun einiges weitergekommen und es wäre mir sehr hilfreich, noch weiter auf deine unterstützung zählen zu können. Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter:
Hallo,
Bernhard Buehler
(by way of Bernhard Buehler ) writes: hallo liste
ich möchte gerne unter suse 9.0 ldap für user-accounts und samba einrichen. habe mich so schlecht und recht bisher durchgekämpft und stehe jetzt wirklich an. ich weiss nicht on meine datenstruktur einen fehler hat, oder ob ich was nicht verstanden habe. ich kann zb. mit gq die ldap-struktur browsen.
was ist hier falsch (invalid DN-syntax)? ldapsearch -d 256 -x -b -D "dc=stag,dc=ch" -b ' ' -s base supportedSASLmechanisms request 1 done # extended LDIF # LDAPv3 # base < > with scope base # filter: dc=stag,dc=ch # requesting: supportedSASLmechanisms
Sieh dir mal deinen Suchstring genau an und interpretiere einmal Schritt für Schritt deine Optionen.
Du möchtest ldapsearch im (-d) Debugging Modus 256 laufen lassen, initiierst ein simple bind (-x), möchtest die Suchbasis (-b) -D dc=stag,dc=ch durchsuchen, dann erneut die Suchbasis rootDSE durchsuchen( -b '') und als Scope möchtest du base. Das kann ja nicht gutgehen.:-(
versuche einmal ldapsearch -d3 -x -b "" -s base + das sollte helfen, das Plus (+) bedeutet daß operationale Attribute ausgegeben werden.
rootDSE muß anonym durchsucht werden können, daher muß du dich nicht unbedingt mit einem Distinguished Name (-D) binden.Die access rules hierfür sollten lauten access to dn.base=""by * read
Debugging Modus 256 macht bei Clients keinen Sinn, da nur Serverstatistik in diesem Modus ausgewertet wird. Im Debugging Modus 3 wird die Verbindung zwischen Client und Server protokolliert.
ok, ich weiss nun dass meine datenstruktur io ist. ich wollte einfach nur möglichst viel (bzw. alles) vom ldap auslesen. gibt es überhaupt eine möglichkeit, so eine totale üebersicht über alles was zu ldap gehört (konfiguration/struktur/module) auf einer uebersicht auszulesen (so alla samba mit testparm).
gibt es irgendwo eine schritt- zu schrittanweisung für meine aufgabenstellung?
http://www.openldap.org/doc/admin22/ oder kaufe das beste deutschsprachige Buch zum Thema LDAP/OpenLDAP.
du wirst dich freuen, das "beste deutschsprachige buch" habe ich schon. es heisst ldap verstehen... von einem dieter klünter. möglichweise hast du schon davon gehört. das buch finde ich sehr gut. nur wie du ja auch weisst ist ldap trotzdem ein harter brocken. auch die suse-spezifischen dinge liegen für mich ziemlich im unklaren. also jetzt wieder im ernst. ich wäre dir für weitere hilfe (auch kommerziell) sehr dankbar. mein ldap scheint gut zu laufen. ich habe jetzt folgende struktur: dc=stag,dc=ch - ou=people,groups,machines und domains ich kann mit dem ldap account manager (webapplikation) benutzer anlegen. diese erscheinen auch in der yast benutzerverwaltung und ich kann in yast erstellte benutzer in ldap aman richtiger stelle wieder finden, usw. mit smbclient kann ich ldap-benutzer verwenden. nun kommt mein nächstes problem. gemäss verschiedenen unterlagen die ich in der letzten zeit gesehen habe, soll die umstellung der benutzerverwaltung und authentifizierung unter suse (ich habe 9.0) einfach und nur über yast möglich sein. nach ldap aktivierung in yast erfolgte beim login keine reaktion. ldap user konnten sich auch nicht anmelden. ich habe nun folgendes geändert: pam_unix2.conf: auth: use_ldap nullok account: use_ldap password: use_ldap md5 nullok session: none nsswitch.conf: passwd: files ldap compat group: files ldap compat shadow: files ldap compat sshd: auth sufficient pam_ldap.so auth required pam_unix.so try_first_pass account sufficient pam_ldap.so session required pam_mkhomedir.so skel=/etc/skel/umask=0022 password sufficient pam_ldap.so normale systemuser können sich weiter anmelden (zb. mit ssh). ldap-user gehen nicht. in messages steht nur "PAM system error". weisst du hier weiter rat und wie ich vorgehen soll? danke Bernhard ~
-Dieter
-- Dieter Klünter | Systemberatung http://www.avci.de GPG Key ID:8C183C8622115328
Hallo Bernhard,
Bernhard Buehler
Hallo Dieter
Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter:
Hallo,
Bernhard Buehler
(by way of Bernhard Buehler ) writes: hallo liste [...] Debugging Modus 256 macht bei Clients keinen Sinn, da nur Serverstatistik in diesem Modus ausgewertet wird. Im Debugging Modus 3 wird die Verbindung zwischen Client und Server protokolliert.
ok, ich weiss nun dass meine datenstruktur io ist. ich wollte einfach nur möglichst viel (bzw. alles) vom ldap auslesen. gibt es überhaupt eine möglichkeit, so eine totale üebersicht über alles was zu ldap gehört (konfiguration/struktur/module) auf einer uebersicht auszulesen (so alla samba mit testparm).
Leider noch nicht, aber es wird heftig daran gearbeitet. Das wird erst dann möglich sein, wenn die Konfiguration über ein Backend erfolgt, ähnlich wie jetzt Monitor. Ich denke, daß dies mit OpenLDAP 2.4 möglich sein wird.
also jetzt wieder im ernst. ich wäre dir für weitere hilfe (auch kommerziell) sehr dankbar.
da kannst du gerne an mich herantreten :-)
mein ldap scheint gut zu laufen. ich habe jetzt folgende struktur: [...] nun kommt mein nächstes problem. gemäss verschiedenen unterlagen die ich in der letzten zeit gesehen habe, soll die umstellung der benutzerverwaltung und authentifizierung unter suse (ich habe 9.0) einfach und nur über yast möglich sein. nach ldap aktivierung in yast erfolgte beim login keine reaktion. ldap user konnten sich auch nicht anmelden. ich habe nun folgendes geändert:
[ pam konfiguration ]
normale systemuser können sich weiter anmelden (zb. mit ssh). ldap-user gehen nicht. in messages steht nur "PAM system error".
weisst du hier weiter rat und wie ich vorgehen soll?
Da muß ich jetzt etwas raten, aber als ersten Ansatzpunkt siehe dir mal /etc/ldap.conf an, das ist die Konfiguration für nsswitch und pam_ldap. Halt, zurück! SuSE hat ja /etc/ldap.conf und /etc/openldap/ldap.conf zu einer Datei /etc/openldap/ldap.conf, vereinigt, suche also mal dort nach den Konfigurationsparamtern für pam_ldap. -Dieter -- Dieter Klünter | Systemberatung http://www.avci.de GPG Key ID:8C183C8622115328
Hallo Dieter danke für deinen bericht. mit der pam-sache hänge ich im moment völlig durch. ich weiss aktuell noch nicht wie ich hier weiter vorgehen kann. ich habe in den mailinglisten schon eine ganze reihe solcher dinge gefunden aber keine problemlösung die ich hier brauchen könnte. wenn ich die pam-sache im griff habe würde ich gerne das eigentliche projekt (ldap, samba, pdc) wieder (mit deiner hilfe, wenn nötig) aufnehmen. mit danke wünsche ich dir ein schönes wochenende. Bernhard Am Donnerstag, 2. September 2004 15.31 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter:
Hallo,
Bernhard Buehler
(by way of Bernhard Buehler
) writes: hallo liste
[...]
Debugging Modus 256 macht bei Clients keinen Sinn, da nur Serverstatistik in diesem Modus ausgewertet wird. Im Debugging Modus 3 wird die Verbindung zwischen Client und Server protokolliert.
ok, ich weiss nun dass meine datenstruktur io ist. ich wollte einfach nur möglichst viel (bzw. alles) vom ldap auslesen. gibt es überhaupt eine möglichkeit, so eine totale üebersicht über alles was zu ldap gehört (konfiguration/struktur/module) auf einer uebersicht auszulesen (so alla samba mit testparm).
Leider noch nicht, aber es wird heftig daran gearbeitet. Das wird erst dann möglich sein, wenn die Konfiguration über ein Backend erfolgt, ähnlich wie jetzt Monitor. Ich denke, daß dies mit OpenLDAP 2.4 möglich sein wird.
also jetzt wieder im ernst. ich wäre dir für weitere hilfe (auch kommerziell) sehr dankbar.
da kannst du gerne an mich herantreten :-)
mein ldap scheint gut zu laufen. ich habe jetzt folgende struktur:
[...]
nun kommt mein nächstes problem. gemäss verschiedenen unterlagen die ich in der letzten zeit gesehen habe, soll die umstellung der benutzerverwaltung und authentifizierung unter suse (ich habe 9.0) einfach und nur über yast möglich sein. nach ldap aktivierung in yast erfolgte beim login keine reaktion. ldap user konnten sich auch nicht anmelden. ich habe nun folgendes geändert:
[ pam konfiguration ]
normale systemuser können sich weiter anmelden (zb. mit ssh). ldap-user gehen nicht. in messages steht nur "PAM system error".
weisst du hier weiter rat und wie ich vorgehen soll?
Da muß ich jetzt etwas raten, aber als ersten Ansatzpunkt siehe dir mal /etc/ldap.conf an, das ist die Konfiguration für nsswitch und pam_ldap.
Halt, zurück! SuSE hat ja /etc/ldap.conf und /etc/openldap/ldap.conf zu einer Datei /etc/openldap/ldap.conf, vereinigt, suche also mal dort nach den Konfigurationsparamtern für pam_ldap.
-Dieter
-- Dieter Klünter | Systemberatung http://www.avci.de GPG Key ID:8C183C8622115328
Hallo Dieter bitte siehe weiter unten.. Am Donnerstag, 2. September 2004 15.31 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter:
Hallo,
Bernhard Buehler
(by way of Bernhard Buehler
) writes: hallo liste
[...]
Debugging Modus 256 macht bei Clients keinen Sinn, da nur Serverstatistik in diesem Modus ausgewertet wird. Im Debugging Modus 3 wird die Verbindung zwischen Client und Server protokolliert.
ok, ich weiss nun dass meine datenstruktur io ist. ich wollte einfach nur möglichst viel (bzw. alles) vom ldap auslesen. gibt es überhaupt eine möglichkeit, so eine totale üebersicht über alles was zu ldap gehört (konfiguration/struktur/module) auf einer uebersicht auszulesen (so alla samba mit testparm).
Leider noch nicht, aber es wird heftig daran gearbeitet. Das wird erst dann möglich sein, wenn die Konfiguration über ein Backend erfolgt, ähnlich wie jetzt Monitor. Ich denke, daß dies mit OpenLDAP 2.4 möglich sein wird.
also jetzt wieder im ernst. ich wäre dir für weitere hilfe (auch kommerziell) sehr dankbar.
da kannst du gerne an mich herantreten :-)
mein ldap scheint gut zu laufen. ich habe jetzt folgende struktur:
[...]
nun kommt mein nächstes problem. gemäss verschiedenen unterlagen die ich in der letzten zeit gesehen habe, soll die umstellung der benutzerverwaltung und authentifizierung unter suse (ich habe 9.0) einfach und nur über yast möglich sein. nach ldap aktivierung in yast erfolgte beim login keine reaktion. ldap user konnten sich auch nicht anmelden. ich habe nun folgendes geändert:
[ pam konfiguration ]
normale systemuser können sich weiter anmelden (zb. mit ssh). ldap-user gehen nicht. in messages steht nur "PAM system error".
weisst du hier weiter rat und wie ich vorgehen soll?
Da muß ich jetzt etwas raten, aber als ersten Ansatzpunkt siehe dir mal /etc/ldap.conf an, das ist die Konfiguration für nsswitch und pam_ldap.
Halt, zurück! SuSE hat ja /etc/ldap.conf und /etc/openldap/ldap.conf zu einer Datei /etc/openldap/ldap.conf, vereinigt, suche also mal dort nach den Konfigurationsparamtern für pam_ldap.
-Dieter
-- Dieter Klünter | Systemberatung http://www.avci.de GPG Key ID:8C183C8622115328
die sache macht mir relativ viel mühe. ich habe jetzt testweise auf eine suse 9.1 gewechselt, da ja hier über yast alles automatisch eingerichtet werde. es stimmt nicht ganz. als rekapitulation habe ich das problem, dass die anmeldung mit ldap nicht geht. es ist so, dass der zugriff nach ldap offenbar gestört ist. wenn ich in yast den ldap zugang konfiguriere und dafür das cn=admin,dc=bbmlan,dc=ch verwende ist der zugriff auf die ldap-user io. es kommen die richtige user (mit dem filter ldap-user). greife ich in yast mit anonymus zu werden keine daten gefunden. könntest du dir einmal die beiden logfile-einträge ansehen? Hier aus yast mit anonymus: Sep 8 10:54:27 ft10120 slapd[4122]: connection_get(11) Sep 8 10:54:27 ft10120 slapd[4122]: SRCH "dc=bbmlan.ch,dc=ch" 2 0 Sep 8 10:54:27 ft10120 slapd[4122]: 0 0 0 Sep 8 10:54:27 ft10120 slapd[4122]: filter: (objectClass=posixGroup) Sep 8 10:54:27 ft10120 slapd[4122]: attrs: Sep 8 10:54:27 ft10120 slapd[4122]: Sep 8 10:54:27 ft10120 slapd[4122]: send_ldap_result: err=10 matched="" text="" Sep 8 10:54:27 ft10120 slapd[4122]: connection_get(11) Sep 8 10:54:27 ft10120 slapd[4122]: SRCH "dc=bbmlan.ch,dc=ch" 2 0 Sep 8 10:54:27 ft10120 slapd[4122]: 0 0 0 Sep 8 10:54:27 ft10120 slapd[4122]: filter: (objectClass=posixAccount) Sep 8 10:54:27 ft10120 slapd[4122]: attrs: Sep 8 10:54:27 ft10120 slapd[4122]: Sep 8 10:54:27 ft10120 slapd[4122]: send_ldap_result: err=10 matched="" text=" hier aus yast über den admin: Sep 8 10:55:21 ft10120 slapd[4122]: connection_get(11) Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11) Sep 8 10:55:44 ft10120 slapd[4122]: ==> bdb_bind: dn: cn=admin,dc=bbmlan,dc=ch Sep 8 10:55:44 ft10120 slapd[4122]: send_ldap_result: err=0 matched="" text="" Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11) Sep 8 10:55:44 ft10120 slapd[4122]: connection_input: conn=6 deferring operation: binding Sep 8 10:55:44 ft10120 slapd[4122]: SRCH "" 0 0 Sep 8 10:55:44 ft10120 slapd[4122]: 0 0 0 Sep 8 10:55:44 ft10120 slapd[4122]: filter: (objectClass=*) Sep 8 10:55:44 ft10120 slapd[4122]: attrs: Sep 8 10:55:44 ft10120 slapd[4122]: subschemasubentry Sep 8 10:55:44 ft10120 slapd[4122]: Sep 8 10:55:44 ft10120 slapd[4122]: send_ldap_result: err=0 matched="" text="" Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11) Sep 8 10:55:44 ft10120 slapd[4122]: SRCH "cn=Subschema" 0 0 Sep 8 10:55:44 ft10120 slapd[4122]: 0 0 0 Sep 8 10:55:44 ft10120 slapd[4122]: filter: (objectClass=*) Sep 8 10:55:44 ft10120 slapd[4122]: attrs: Sep 8 10:55:44 ft10120 slapd[4122]: objectclasses Sep 8 10:55:44 ft10120 slapd[4122]: attributetypes Sep 8 10:55:44 ft10120 slapd[4122]: Sep 8 10:55:44 ft10120 slapd[4122]: send_ldap_result: err=0 matched="" text="" Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11) Sep 8 10:55:44 ft10120 slapd[4122]: SRCH "dc=bbmlan,dc=ch" 1 0 Sep 8 10:55:44 ft10120 slapd[4122]: 0 0 0 Sep 8 10:55:44 ft10120 slapd[4122]: filter: (objectClass=suseModuleConfiguration) Sep 8 10:55:44 ft10120 slapd[4122]: attrs: Sep 8 10:55:44 ft10120 slapd[4122]: Sep 8 10:55:44 ft10120 slapd[4122]: bdb_idl_fetch_key: %dc=bbmlan,dc=ch Sep 8 10:55:44 ft10120 slapd[4122]: bdb_idl_fetch_key: [b49d1940] Sep 8 10:55:44 ft10120 slapd[4122]: bdb_idl_fetch_key: [772d2b18] Sep 8 10:55:44 ft10120 slapd[4122]: send_ldap_result: err=0 matched="" text="" Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11) Sep 8 10:55:44 ft10120 slapd[4122]: SRCH "cn=suseusertemplate,dc=bbmlan,dc=ch" 0 0 Sep 8 10:55:44 ft10120 slapd[4122]: 0 0 0 Sep 8 10:55:44 ft10120 slapd[4122]: filter: (objectClass=*) Sep 8 10:55:44 ft10120 slapd[4122]: attrs: Sep 8 10:55:44 ft10120 slapd[4122]: Sep 8 10:55:44 ft10120 slapd[4122]: base_candidates: base: "cn=suseusertemplate,dc=bbmlan,dc=ch" (0x0000000d) Sep 8 10:55:44 ft10120 slapd[4122]: send_ldap_result: err=0 matched="" text="" Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11) Sep 8 10:55:44 ft10120 slapd[4122]: SRCH "cn=susegrouptemplate,dc=bbmlan,dc=ch" 0 0 in meiner datenstruktur habe ich (mit gq einwandfrei zum bearbeiten): dc=bbmlan.dc=ch ou=people -- uid=testuser1 ou=groups ou=machines ou=domains uid=testuser3 cn=suseusertemplate ich kann offenbar bei der login-prozedur (anonym) weder auf testuser1 noch auf testuser3 zugreifen. in der slapd.conf habe ich bei den rechten "access * by * read". leider habe ich nichts darüber gefunden, was und wie in yast der zugriff auf ldap konfiguriert werden muss. oder on bestimmte strukturen vorausgesetzt sind. da die daten aber über admin kommen, nehme ich an, dass der zugriff anonym irgendwie anders geht. es ist natürlich auch möglich, dass ich mich hier irgendwo verrant habe. ich wäre dir dankbar, wenn du die sache wieder einmal ansehen könntest. grüsse Bernhard
Hallo Bernhard,
Bernhard Buehler
Hallo Dieter
bitte siehe weiter unten..
Am Donnerstag, 2. September 2004 15.31 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter:
Hallo,
Bernhard Buehler
(by way of Bernhard Buehler
) writes: hallo liste
[...]
[...] die sache macht mir relativ viel mühe. ich habe jetzt testweise auf eine suse 9.1 gewechselt, da ja hier über yast alles automatisch eingerichtet werde. es stimmt nicht ganz. als rekapitulation habe ich das problem, dass die anmeldung mit ldap nicht geht. es ist so, dass der zugriff nach ldap offenbar gestört ist. wenn ich in yast den ldap zugang konfiguriere und dafür das cn=admin,dc=bbmlan,dc=ch verwende ist der zugriff auf die ldap-user io. es kommen die richtige user (mit dem filter ldap-user).
Ehrlich ich habe keine Ahnung von Yast, Yast2 und sonstigen Administrationstools, ich weiß nicht welche Fehler da verursacht werden können. Diese Tools sind auch schwer zu debuggen.
greife ich in yast mit anonymus zu werden keine daten gefunden. könntest du dir einmal die beiden logfile-einträge ansehen?
Hier aus yast mit anonymus: Sep 8 10:54:27 ft10120 slapd[4122]: connection_get(11) Sep 8 10:54:27 ft10120 slapd[4122]: SRCH "dc=bbmlan.ch,dc=ch" 2 0 [...] Sep 8 10:54:27 ft10120 slapd[4122]: send_ldap_result: err=10 matched="" text="
Irgend etwas stimmt mit dem Suchstring nicht. ERR=10 (err=0x0a) bedeutet, daß ein Referral nicht verfügbar ist. Sieh dir einmal bitte die Suchbasis an "dc=bbmlan.ch,dc=ch", diese stimmt nicht mit der Suchbasis im zweiten Logauszug überein, da ist die Suchbasis "dc=bbmlan,dc=ch"
hier aus yast über den admin: [...] Sep 8 10:55:44 ft10120 slapd[4122]: ==> bdb_bind: dn: cn=admin,dc=bbmlan,dc=ch [...] Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11) Sep 8 10:55:44 ft10120 slapd[4122]: SRCH "dc=bbmlan,dc=ch" 1 0
Welche Attribute hat denn die Objektklasse suseModuleConfiguration, und was beinhalten die Einträge cn=suseusertemplate,dc=bbmlan.
ich kann offenbar bei der login-prozedur (anonym) weder auf testuser1 noch auf testuser3 zugreifen. in der slapd.conf habe ich bei den rechten "access * by * read".
leider habe ich nichts darüber gefunden, was und wie in yast der zugriff auf ldap konfiguriert werden muss. oder on bestimmte strukturen vorausgesetzt sind. da die daten aber über admin kommen, nehme ich an, dass der zugriff anonym irgendwie anders geht.
es ist natürlich auch möglich, dass ich mich hier irgendwo verrant habe. ich wäre dir dankbar, wenn du die sache wieder einmal ansehen könntest.
Prüfe doch bitte mal, wo der Konfigurationsfehler hinsichtlich der Suchbasis liegt, wenn dieser Fehler korrigiert ist und noch immer Fehler auftreten, sehen wir weiter. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Hallo Dieter zum glück haben wir keine videoverbindung sonst würdest du meine roten ohren sehen. ich habe jetzt wirklich vor lauter bäumen den wald bzw. den fehler bei der einen suchbasis dc=bbmlan.ch,dc=ch (ein .ch zuviel) nicht (mehr) gesehen. Bitte siehe weiter unten.. Am Mittwoch, 8. September 2004 15.39 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
bitte siehe weiter unten..
Am Donnerstag, 2. September 2004 15.31 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter:
Hallo,
Bernhard Buehler
(by way of Bernhard Buehler
) writes: hallo liste
[...]
[...]
die sache macht mir relativ viel mühe. ich habe jetzt testweise auf eine suse 9.1 gewechselt, da ja hier über yast alles automatisch eingerichtet werde. es stimmt nicht ganz. als rekapitulation habe ich das problem, dass die anmeldung mit ldap nicht geht. es ist so, dass der zugriff nach ldap offenbar gestört ist. wenn ich in yast den ldap zugang konfiguriere und dafür das cn=admin,dc=bbmlan,dc=ch verwende ist der zugriff auf die ldap-user io. es kommen die richtige user (mit dem filter ldap-user).
Ehrlich ich habe keine Ahnung von Yast, Yast2 und sonstigen Administrationstools, ich weiß nicht welche Fehler da verursacht werden können. Diese Tools sind auch schwer zu debuggen.
greife ich in yast mit anonymus zu werden keine daten gefunden. könntest du dir einmal die beiden logfile-einträge ansehen?
Hier aus yast mit anonymus: Sep 8 10:54:27 ft10120 slapd[4122]: connection_get(11) Sep 8 10:54:27 ft10120 slapd[4122]: SRCH "dc=bbmlan.ch,dc=ch" 2 0
[...]
Sep 8 10:54:27 ft10120 slapd[4122]: send_ldap_result: err=10 matched="" text="
Irgend etwas stimmt mit dem Suchstring nicht. ERR=10 (err=0x0a) bedeutet, daß ein Referral nicht verfügbar ist. Sieh dir einmal bitte die Suchbasis an "dc=bbmlan.ch,dc=ch", diese stimmt nicht mit der Suchbasis im zweiten Logauszug überein, da ist die Suchbasis "dc=bbmlan,dc=ch"
hier aus yast über den admin:
[...]
Sep 8 10:55:44 ft10120 slapd[4122]: ==> bdb_bind: dn: cn=admin,dc=bbmlan,dc=ch
[...]
Sep 8 10:55:44 ft10120 slapd[4122]: connection_get(11) Sep 8 10:55:44 ft10120 slapd[4122]: SRCH "dc=bbmlan,dc=ch" 1 0
Welche Attribute hat denn die Objektklasse suseModuleConfiguration, und was beinhalten die Einträge cn=suseusertemplate,dc=bbmlan.
es wird offenbar von der suse benutzerverwaltung bzw. yast angelegt. die funktion ist mir aber eigentlich unklar, es sollte vermutlich nur die vorlage für neue accounts sein: dn cn=suseusertemplate,dc=bbmlan,dc=ch top objectClass suseObjectTemplate suseUserTemplate cn suseusertemplate susePlugin UsersPluginLDAPII suseDefaultValue homedirectory=/home/%uid loginshell=/bin/bash suseNamingAttibute uid suseSecundaryGroup ist leer structuralObjectClass suseUserTemplate (ist angezeigt nicht editierbar) entryUUID lange Nummer creatorsName cn=admin,dc=bbmlan,dc=ch createTimestamp datum/zeit entryCSN lange Nummer mit 1234....#1234.. usw. modifiersName cn=admin,dc=bbmlan,dc=ch modifyTimestamp datum/zeit subschemaSubentry cn=Subschema (nicht editierbar) hasSubordinates ich werde daraus nicht sehr schlau.
ich kann offenbar bei der login-prozedur (anonym) weder auf testuser1 noch auf testuser3 zugreifen. in der slapd.conf habe ich bei den rechten "access * by * read".
leider habe ich nichts darüber gefunden, was und wie in yast der zugriff auf ldap konfiguriert werden muss. oder on bestimmte strukturen vorausgesetzt sind. da die daten aber über admin kommen, nehme ich an, dass der zugriff anonym irgendwie anders geht.
es ist natürlich auch möglich, dass ich mich hier irgendwo verrant habe. ich wäre dir dankbar, wenn du die sache wieder einmal ansehen könntest.
Prüfe doch bitte mal, wo der Konfigurationsfehler hinsichtlich der Suchbasis liegt, wenn dieser Fehler korrigiert ist und noch immer Fehler auftreten, sehen wir weiter.
-Dieter
-- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
ich bin jetzt nicht sicher, ob alle probleme gelöst sind, dies werde ich ja schon noch sehen. nun bin ich natürlich wieder voll motiviert und voller tatendrang. mein eigentliches projekt ist ja die üebernahme einer grossen nt-domäne. Ein Rat von dir? ich habe hier testweise die datenstruktur von lam (s. oben). genügt diese wirklich um alle nt-user und maschinendaten aufzunehmen. oder soll ich mich an die strukturen von idealix (pl-scripte kennst du ja sicher) halten. die strukturen von idealix und pl-scripte scheinen mir eher passend und ausführlicher. ich habe auch noch die aufgabe, dass sich neue maschinenaccounts (windows-pcs) automatisch anmelden und eintragen sollen und dass pc-benützer selbst ihre passwörter ändern können. könntest du mir eventuell dazu noch etwas sagen. in jedem falle finde ich deinen einsatz in der suse-liste (habe ich schon früher beim durchsehen gedacht) super und lobenswert und natürlich auch für mich. also in jedem falle mal vielen herzlichen dank. bernhard
Hallo Bernhard,
Bernhard Buehler
Hallo Dieter
Am Mittwoch, 8. September 2004 15.39 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
bitte siehe weiter unten..
Am Donnerstag, 2. September 2004 15.31 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter:
Hallo,
Bernhard Buehler
(by way of Bernhard Buehler
) writes: > hallo liste
[...]
[...] [...] Welche Attribute hat denn die Objektklasse suseModuleConfiguration, und was beinhalten die Einträge cn=suseusertemplate,dc=bbmlan.
es wird offenbar von der suse benutzerverwaltung bzw. yast angelegt. die funktion ist mir aber eigentlich unklar, es sollte vermutlich nur die vorlage für neue accounts sein:
dn cn=suseusertemplate,dc=bbmlan,dc=ch top objectClass suseObjectTemplate suseUserTemplate cn suseusertemplate susePlugin UsersPluginLDAPII suseDefaultValue homedirectory=/home/%uid loginshell=/bin/bash suseNamingAttibute uid suseSecundaryGroup ist leer structuralObjectClass suseUserTemplate (ist angezeigt nicht editierbar) entryUUID lange Nummer creatorsName cn=admin,dc=bbmlan,dc=ch createTimestamp datum/zeit entryCSN lange Nummer mit 1234....#1234.. usw. modifiersName cn=admin,dc=bbmlan,dc=ch modifyTimestamp datum/zeit subschemaSubentry cn=Subschema (nicht editierbar) hasSubordinates
ich werde daraus nicht sehr schlau.
Ich denke, ich werde mal einen testweise mit SuSE-9.0 einen Server mit LDAP Authentifizierung aufsetzen. [...]
ich bin jetzt nicht sicher, ob alle probleme gelöst sind, dies werde ich ja schon noch sehen. nun bin ich natürlich wieder voll motiviert und voller tatendrang. mein eigentliches projekt ist ja die üebernahme einer grossen nt-domäne.
Ein Rat von dir?
ich habe hier testweise die datenstruktur von lam (s. oben). genügt diese wirklich um alle nt-user und maschinendaten aufzunehmen. oder soll ich mich an die strukturen von idealix (pl-scripte kennst du ja sicher) halten. die strukturen von idealix und pl-scripte scheinen mir eher passend und ausführlicher. ich habe auch noch die aufgabe, dass sich neue maschinenaccounts (windows-pcs) automatisch anmelden und eintragen sollen und dass pc-benützer selbst ihre passwörter ändern können. könntest du mir eventuell dazu noch etwas sagen.
Zur Struktur eines NT-Authentifizierungsystems gibt es keine goldene Regel, letztlich ist alles abhängig von den eigenen Bedürfnissen. Die neueren Scripte von idealix sollten funktionieren. In meinem Buch beschriebe ich noch ältere Versionen, die mit Samba-3.0 nicht funktionierten. Die letzte Entscheidung trägt aber immer der verantwortliche Administrator. Die Hauptfaktoren, die die Struktur beeinflussen sind einerseits Leistungsaspekte und andererseits Sicherheitsaspekte. Wenn ich einige 100.000 Hosts und User habe ist es sinnvoller, diese auf mehrere Teilbäume zu verzweigen, das erhöht die Suchgeschwindigkeit, bei einigen hundert oder wenigen tausend Hosts und Users ist das nicht erforderlich. Zugriffsteuerungen über diverse Rechtevergaben sind leichter zu realisieren, wenn diese Regeln auf Subtrees abzubilden sind. Bei der grundsätzlichen Überlegung zur Struktur würde ich also zuerst Access Regeln beschreiben, mir dann Gedanken über Quantitäten machen und auch Möglichkeiten verteilter Systeme in betracht ziehen. Maschinenaccounts anlegen, Passworte der User ändern usw. ist ja die ureigene Aufgabe von Samba, da sollte es keine Schwierigkeiten geben. Ich bin allerdings nicht der große Samba-Zampano.
in jedem falle finde ich deinen einsatz in der suse-liste (habe ich schon früher beim durchsehen gedacht) super und lobenswert und natürlich auch für mich. also in jedem falle mal vielen herzlichen dank.
Danke für die Blumen :-) -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Hallo Dieter melde mich wieder einmal.. Am Mittwoch, 8. September 2004 17.33 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
Am Mittwoch, 8. September 2004 15.39 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
bitte siehe weiter unten..
Am Donnerstag, 2. September 2004 15.31 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter: > Hallo, > > Bernhard Buehler
(by way of Bernhard > Buehler
) writes: > > hallo liste [...]
[...]
[...]
Welche Attribute hat denn die Objektklasse suseModuleConfiguration, und was beinhalten die Einträge cn=suseusertemplate,dc=bbmlan.
es wird offenbar von der suse benutzerverwaltung bzw. yast angelegt. die funktion ist mir aber eigentlich unklar, es sollte vermutlich nur die vorlage für neue accounts sein:
dn cn=suseusertemplate,dc=bbmlan,dc=ch top objectClass suseObjectTemplate suseUserTemplate cn suseusertemplate susePlugin UsersPluginLDAPII suseDefaultValue homedirectory=/home/%uid loginshell=/bin/bash suseNamingAttibute uid suseSecundaryGroup ist leer structuralObjectClass suseUserTemplate (ist angezeigt nicht editierbar) entryUUID lange Nummer creatorsName cn=admin,dc=bbmlan,dc=ch createTimestamp datum/zeit entryCSN lange Nummer mit 1234....#1234.. usw. modifiersName cn=admin,dc=bbmlan,dc=ch modifyTimestamp datum/zeit subschemaSubentry cn=Subschema (nicht editierbar) hasSubordinates
ich werde daraus nicht sehr schlau.
Ich denke, ich werde mal einen testweise mit SuSE-9.0 einen Server mit LDAP Authentifizierung aufsetzen.
ich habe hier einen suse 9.0 und einen suse 9.1. bei 9.1 erscheint mir in yast einiges verbessert. mit meinem test und meinen projekt arbeite ich aber jetzt wieder mit 9.0 da ich zu der 9.1 (neuer kernel) aktuell nicht so vertrauen habe. suse 9.1 hat auch ein anderes schema (yast) für ldap. uebrigens mein bisheriges hauptproblem war der access .. in der slap.conf. die clients (zb. pam) kamen mit der standardeinstellung nicht klar.
[...]
ich bin jetzt nicht sicher, ob alle probleme gelöst sind, dies werde ich ja schon noch sehen. nun bin ich natürlich wieder voll motiviert und voller tatendrang. mein eigentliches projekt ist ja die üebernahme einer grossen nt-domäne.
Ein Rat von dir?
ich habe hier testweise die datenstruktur von lam (s. oben). genügt diese wirklich um alle nt-user und maschinendaten aufzunehmen. oder soll ich mich an die strukturen von idealix (pl-scripte kennst du ja sicher) halten. die strukturen von idealix und pl-scripte scheinen mir eher passend und ausführlicher. ich habe auch noch die aufgabe, dass sich neue maschinenaccounts (windows-pcs) automatisch anmelden und eintragen sollen und dass pc-benützer selbst ihre passwörter ändern können. könntest du mir eventuell dazu noch etwas sagen.
Zur Struktur eines NT-Authentifizierungsystems gibt es keine goldene Regel, letztlich ist alles abhängig von den eigenen Bedürfnissen. Die neueren Scripte von idealix sollten funktionieren. In meinem Buch beschriebe ich noch ältere Versionen, die mit Samba-3.0 nicht funktionierten. Die letzte Entscheidung trägt aber immer der verantwortliche Administrator. Die Hauptfaktoren, die die Struktur beeinflussen sind einerseits Leistungsaspekte und andererseits Sicherheitsaspekte. Wenn ich einige 100.000 Hosts und User habe ist es sinnvoller, diese auf mehrere Teilbäume zu verzweigen, das erhöht die Suchgeschwindigkeit, bei einigen hundert oder wenigen tausend Hosts und Users ist das nicht erforderlich. Zugriffsteuerungen über diverse Rechtevergaben sind leichter zu realisieren, wenn diese Regeln auf Subtrees abzubilden sind. Bei der grundsätzlichen Überlegung zur Struktur würde ich also zuerst Access Regeln beschreiben, mir dann Gedanken über Quantitäten machen und auch Möglichkeiten verteilter Systeme in betracht ziehen. Maschinenaccounts anlegen, Passworte der User ändern usw. ist ja die ureigene Aufgabe von Samba, da sollte es keine Schwierigkeiten geben. Ich bin allerdings nicht der große Samba-Zampano.
ich habe jetzt eine lösung, kann in yast, oder lam oder mit den pl-scripten neue user anlegen oder modifizieren. ich hatte noch eine variante mit dm5 passwortverschlüsselung. die ist mir aber nie richtig zum laufen gekommen, bzw. konnte man sich nicht anmelden (passwort error). ich bin jetzt zur standardvariante passwort (crypt) zurückgekehrt. hier scheint alles zu gehen. aktuell habe ich noch unklarheiten mit der indexierung und folgendes problem: obwohl mir die datenstruktur und die konfiguration in smb.conf richtig scheint, gibt es fehler beim select der gruppe. der user bbm hat die gruppe 10000 und die id der gruppe ldapgroup ist auch 10000. trotzdem wird es nicht gefunden (invalid dn): Sep 10 15:53:11 stag-lx1 slapd[4894]: SRCH "dc=stag,dc=ch" 2 0 Sep 10 15:53:11 stag-lx1 slapd[4894]: 1 0 0 Sep 10 15:53:11 stag-lx1 slapd[4894]: filter: (uid=bbm) Sep 10 15:53:11 stag-lx1 slapd[4894]: attrs: Sep 10 15:53:11 stag-lx1 slapd[4894]: Sep 10 15:53:11 stag-lx1 slapd[4894]: bdb_idl_fetch_key: [b49d1940] Sep 10 15:53:11 stag-lx1 slapd[4894]: bdb_idl_fetch_key: [fe501d8a] Sep 10 15:53:11 stag-lx1 slapd[4840]: connection_get(17) Sep 10 15:53:11 stag-lx1 slapd[4892]: SRCH "dc=stag,dc=ch" 2 0 Sep 10 15:53:11 stag-lx1 slapd[4892]: 0 0 0 Sep 10 15:53:11 stag-lx1 slapd[4892]: filter: (&(objectClass=posixGroup)(| (memberUid=bbm)(uniqueMember=uid=bbm,ou=people,dc=stag,dc=ch))) Sep 10 15:53:11 stag-lx1 slapd[4892]: attrs: Sep 10 15:53:11 stag-lx1 slapd[4892]: cn Sep 10 15:53:11 stag-lx1 slapd[4892]: userPassword Sep 10 15:53:11 stag-lx1 slapd[4892]: memberUid Sep 10 15:53:11 stag-lx1 slapd[4892]: uniqueMember Sep 10 15:53:11 stag-lx1 slapd[4892]: gidNumber Sep 10 15:53:11 stag-lx1 slapd[4892]: Sep 10 15:53:11 stag-lx1 slapd[4892]: bdb_idl_fetch_key: [b49d1940] Sep 10 15:53:11 stag-lx1 slapd[4892]: bdb_idl_fetch_key: [fd83b1e1] Sep 10 15:53:11 stag-lx1 slapd[4892]: <= bdb_equality_candidates: (memberUid) index_param failed (18) Sep 10 15:53:11 stag-lx1 slapd[4892]: <= bdb_equality_candidates: (uniqueMember) index_param failed (18) Sep 10 15:53:11 stag-lx1 slapd[4840]: connection_get(27) Sep 10 15:53:11 stag-lx1 slapd[4841]: do_search: invalid dn ("ou=groups,dc=stag,dc=ch","dc=stag,dc=ch") Sep 10 15:53:11 stag-lx1 slapd[4841]: send_ldap_result: err=34 matched="" text="invalid DN" Sep 10 15:53:11 stag-lx1 smbd[7877]: [2004/09/10 15:53:11, 0] passdb/pdb_ldap.c:ldapsam_search_one_group(1763) Sep 10 15:53:11 stag-lx1 smbd[7877]: ldapsam_search_one_group: Problem during the LDAP search: LDAP error: invalid DN (Invalid DN syntax) Sep 10 15:53:11 stag-lx1 slapd[4840]: connection_get(27) Sep 10 15:53:11 stag-lx1 slapd[4840]: connection_get(17) die datenstruktur sieht so aus: dc=stag,dc=ch ou=people, uid=bbm ou=groups, cn=ldapgroup ou=machines ou=domains in der smb.conf habe ich: passdb backend = ldapsam:ldap://localhost ldap ssl = no ldap suffix = "dc=stag,dc=ch" ldap admin dn = "cn=admin,dc=stag,dc=ch" ldap user suffix = "ou=people,dc=stag,dc=ch" ldap group suffix = "ou=groups,dc=stag,dc=ch" ldap machine suffix = "ou=machines,dc=stag,dc=ch" ldap admin dn = "cn=admin,dc=stag,dc=ch" ldap delete dn = no ldap passwd sync = yes könntest du bitte die sache einmal ansehen. auch wäre ich dir für einige tipps welche indexe für was (und wie codiert) dankbar. das schwergewicht sind einige hundert user und maschinen. aber auch das eigentliche login (ohne samba) sollte gut (schnell) gehen. schönes wochenende und vielen dank bernhard (ueberigens die liste ist schon ganz schön lang, sollte man ev. einmal neu anfangen?)
in jedem falle finde ich deinen einsatz in der suse-liste (habe ich schon früher beim durchsehen gedacht) super und lobenswert und natürlich auch für mich. also in jedem falle mal vielen herzlichen dank.
Danke für die Blumen :-)
-Dieter
-- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Hallo Bernhard,
Bernhard Buehler
Hallo Bernhard, Bernhard Buehler
writes: Hallo Dieter Am Mittwoch, 8. September 2004 15.39 schrieb Dieter Kluenter:
Hallo Bernhard, Bernhard Buehler
writes: Hallo Dieter bitte siehe weiter unten. Am Donnerstag, 2. September 2004 15.31 schrieb Dieter Kluenter:
Hallo Bernhard, Bernhard Buehler
writes: > Hallo Dieter > Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter: >> Hallo, >> Bernhard Buehler (by way of Bernhard >> Buehler > ) writes: >> > hallo liste Sep 10 15:53:11 stag-lx1 slapd[4841]: do_search: invalid dn ("ou=groups,dc=stag,dc=ch","dc=stag,dc=ch") Sep 10 15:53:11 stag-lx1 slapd[4841]: send_ldap_result: err=34 matched="" text="invalid DN" Sep 10 15:53:11 stag-lx1 smbd[7877]: [2004/09/10 15:53:11, 0] Hallo Dieter melde mich wieder einmal.. Am Mittwoch, 8. September 2004 17.33 schrieb Dieter Kluenter: passdb/pdb_ldap.c:ldapsam_search_one_group(1763) Sep 10 15:53:11 stag-lx1 smbd[7877]: ldapsam_search_one_group: Problem during the LDAP search: LDAP error: invalid DN (Invalid DN syntax)
Da wird ein DN falsch übermittelt, sieh dir mal den String in der zweiten Zeile an. Ich glaube aber die ursache zu kennen :-)
die datenstruktur sieht so aus: dc=stag,dc=ch ou=people, uid=bbm ou=groups, cn=ldapgroup ou=machines ou=domains
in der smb.conf habe ich: passdb backend = ldapsam:ldap://localhost ldap ssl = no ldap suffix = "dc=stag,dc=ch" ldap admin dn = "cn=admin,dc=stag,dc=ch"
ldap user suffix = "ou=people,dc=stag,dc=ch" ldap group suffix = "ou=groups,dc=stag,dc=ch" ldap machine suffix = "ou=machines,dc=stag,dc=ch" ldap admin dn = "cn=admin,dc=stag,dc=ch" ldap delete dn = no ldap passwd sync = yes
Ich vermute mal, du setzt Samba-3.x ein. Da werden die Suffices nur noch als Relativ Distinguished Name abegbildet, also ldap suffix dc = stag,dc=ch ldap user suffix = ou=people ldap group suffix = ou=groups
(ueberigens die liste ist schon ganz schön lang, sollte man ev. einmal neu anfangen?)
Ja mach' mal mit der nächsten Mail. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Hallo Dieter schon wieder ist eine woche vergangen. natürlich ich hatte auch noch anderes zu tun. es war übrigens wie du vermutet hattest der zugriff per Relativ Distinguished Name. ich habe nun unseren dialog mal neu begonnen. bitte s. ldap suse 9.0 / samba 3.0 / 2. danke bernhard Am Freitag, 10. September 2004 17.33 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter melde mich wieder einmal..
Am Mittwoch, 8. September 2004 17.33 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter
Am Mittwoch, 8. September 2004 15.39 schrieb Dieter Kluenter:
Hallo Bernhard,
Bernhard Buehler
writes: Hallo Dieter bitte siehe weiter unten.
Am Donnerstag, 2. September 2004 15.31 schrieb Dieter Kluenter: > Hallo Bernhard, > > Bernhard Buehler
writes: > > Hallo Dieter > > > > Am Mittwoch, 1. September 2004 09.31 schrieb Dieter Kluenter: > >> Hallo, > >> Bernhard Buehler (by way of Bernhard > >> Buehler > > > > ) writes: > >> > hallo liste Sep 10 15:53:11 stag-lx1 slapd[4841]: do_search: invalid dn ("ou=groups,dc=stag,dc=ch","dc=stag,dc=ch") Sep 10 15:53:11 stag-lx1 slapd[4841]: send_ldap_result: err=34 matched="" text="invalid DN" Sep 10 15:53:11 stag-lx1 smbd[7877]: [2004/09/10 15:53:11, 0] passdb/pdb_ldap.c:ldapsam_search_one_group(1763) Sep 10 15:53:11 stag-lx1 smbd[7877]: ldapsam_search_one_group: Problem during the LDAP search: LDAP error: invalid DN (Invalid DN syntax)
Da wird ein DN falsch übermittelt, sieh dir mal den String in der zweiten Zeile an. Ich glaube aber die ursache zu kennen :-)
die datenstruktur sieht so aus: dc=stag,dc=ch ou=people, uid=bbm ou=groups, cn=ldapgroup ou=machines ou=domains
in der smb.conf habe ich: passdb backend = ldapsam:ldap://localhost ldap ssl = no ldap suffix = "dc=stag,dc=ch" ldap admin dn = "cn=admin,dc=stag,dc=ch"
ldap user suffix = "ou=people,dc=stag,dc=ch" ldap group suffix = "ou=groups,dc=stag,dc=ch" ldap machine suffix = "ou=machines,dc=stag,dc=ch" ldap admin dn = "cn=admin,dc=stag,dc=ch" ldap delete dn = no ldap passwd sync = yes
Ich vermute mal, du setzt Samba-3.x ein. Da werden die Suffices nur noch als Relativ Distinguished Name abegbildet, also
ldap suffix dc = stag,dc=ch ldap user suffix = ou=people ldap group suffix = ou=groups
(ueberigens die liste ist schon ganz schön lang, sollte man ev. einmal neu anfangen?)
Ja mach' mal mit der nächsten Mail.
-Dieter
-- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
-- Bernhard Bühler bbm b+b micro ag / linuxprofis.ch / volkslinux.ch Linux-/ Unix-Informatiksysteme Steiacherweg 3a 6289 Müswangen Tel: +41 41 917 07 24 Fax: +41 41 917 51 58 Mail: bbuehler@bbm-bbmicro.ch http://www.bbm-bbmicro.ch http://www.linuxprofis.ch http://www.volkslinux.ch
participants (2)
-
Bernhard Buehler
-
Dieter Kluenter