--- Ursprüngliche Nachricht --- Von: "Dieter Kluenter" <dieter@dkluenter.de>
doch, auch bei userdel
SYNOPSIS userdel [-D binddn] [-P path] [-r[-f]] [--service service] [--help] [-u] [-v] account
Ok, du hast recht das steht wirklich drin. Ich hab es erst auf einer SLES8 Maschine nachgeschlagen, das stand es aber nicht drin, auf der SLES9 habe ich es dann gefunden.
Was heisst hier LDAP-Client? Ist damit /etc/passwd des Hosts gemeint?
Also ich hab mal eine Kleine Grafik erstellt (siehe Link), da habe ich mal aufgezeichnet wie ich das mit dem LDAP-Client und Server mein und wie ich das unter phpLDAPAdmin realisiert habe. http://www.directupload.net/show/d/401/c7j8re3z.jpg Wenn ich jetzt einen User auf dem LDAP-Client mars anlegen möchte z.B. mars2 dann mache ich das folgendermaßen: useradd -D cn=admin,o=firma,c=de -m mars2 Der User wird jetzt aber auf dem LDAP-Client angelegt Lokal in der /etc/passwd und nicht wie gewünscht auf dem LDAP-Server.
Ist denn nun das Homeverzeichnis angelegt?
Ja das Homeverzeichnis wird dabei angelegt.
Was sagen denn die Logdateien, wenn versucht wird, einen User anzulegen?
Das steht in den logs, wenn ich versuche einen User anzulegen: daemon: conn=112 fd=12 connection from IP=53.139.198.186:34620 (IP=0.0.0.0:389) accepted. conn=112 op=0 BIND dn="" method=128 conn=112 op=0 RESULT tag=97 err=0 text= conn=112 op=1 SRCH base="o=firma,c=de" scope=2 filter="(&(objectClass=posixGroup)(cn=dialout))" conn=112 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= daemon: conn=113 fd=16 connection from IP=53.139.198.186:34621 (IP=0.0.0.0:389) accepted. conn=113 op=0 BIND dn="" method=128 conn=113 op=0 RESULT tag=97 err=0 text= conn=113 op=1 SRCH base="o=firma,c=de" scope=2 filter="(&(objectClass=posixGroup)(cn=uucp))" conn=113 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= daemon: conn=114 fd=18 connection from IP=53.139.198.186:34622 (IP=0.0.0.0:389) accepted. conn=114 op=0 BIND dn="" method=128 conn=114 op=0 RESULT tag=97 err=0 text= conn=114 op=1 SRCH base="o=firma,c=de" scope=2 filter="(&(objectClass=posixGroup)(cn=video))" conn=114 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= daemon: conn=115 fd=19 connection from IP=53.139.198.186:34623 (IP=0.0.0.0:389) accepted. conn=115 op=0 BIND dn="" method=128 conn=115 op=0 RESULT tag=97 err=0 text= conn=115 op=1 SRCH base="o=firma,c=de" scope=2 filter="(&(objectClass=posixGroup)(cn=audio))" conn=115 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= conn=3 op=22 SRCH base="o=firma,c=de" scope=2 filter="(&(objectClass=posixAccount)(uid=mars2))" conn=3 op=22 SEARCH RESULT tag=101 err=0 nentries=0 text= conn=3 op=23 SRCH base="o=firma,c=de" scope=2 filter="(&(objectClass=posixAccount)(uidNumber=60000))" conn=3 op=23 SEARCH RESULT tag=101 err=0 nentries=0 text= daemon: conn=116 fd=20 connection from IP=53.139.198.186:34624 (IP=0.0.0.0:389) accepted. conn=116 op=0 BIND dn="" method=128 conn=116 op=0 RESULT tag=97 err=0 text= conn=116 op=1 SRCH base="o=firma,c=de" scope=2 filter="(objectClass=posixAccount)" conn=116 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= conn=3 op=24 SRCH base="o=firma,c=de" scope=2 filter="(&(objectClass=posixAccount)(uidNumber=10002))" conn=3 op=24 SEARCH RESULT tag=101 err=0 nentries=0 text= conn=116 op=2 SRCH base="o=firma,c=de" scope=2 filter="(&(objectClass=posixGroup)(cn=dialout))" conn=116 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= conn=116 op=3 SRCH base="o=firma,c=de" scope=2 filter="(&(objectClass=posixGroup)(cn=uucp))" conn=116 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text= conn=116 op=4 SRCH base="o=firma,c=de" scope=2 filter="(&(objectClass=posixGroup)(cn=video))" conn=116 op=4 SEARCH RESULT tag=101 err=0 nentries=0 text= conn=116 op=5 SRCH base="o=firma,c=de" scope=2 filter="(&(objectClass=posixGroup)(cn=audio))" conn=116 op=5 SEARCH RESULT tag=101 err=0 nentries=0 text= conn=112 fd=12 closed conn=113 fd=16 closed conn=114 fd=18 closed conn=115 fd=19 closed conn=116 fd=20 closed
[...] #### TEST - Machinen ####
### Intel-TestMaschine access to dn.subtree="ou=mars,ou=TEST-Maschinen,o=firma,c=de" by peername="127.0.0.1" read by peername="53.139.198.186" read by * none
### sxA - TestMaschine access to dn.subtree="ou=sxA,ou=TEST-Maschinen,o=firma,c=de" by peername="127.0.0.1" read by peername="10.206.176.212" read by peername="10.206.176.148" read by peername="10.206.176.74" read by * none [...]
Die access Regeln sind sehr einschränkend, da kann ja kein Client eine Authentifizierung vornehmen, wenn denn ldap.conf so stimmt und als Suchbasis o=fimra,c=de angegeben ist.
Also ich hab mal ein bisschen nachgeschlagen, ich bin gerade noch dabei zu verstehen wie ich das einrichten soll. Ich bin da noch nicht so durch gestiegen. Gibt es da keine Möglichkeit einfach den Admin-Account mit zu geben ?
# The distinguished name of the search base. base o=firma,c=de [...] nss_map_attribute uniqueMember member pam_filter objectclass=posixAccount nss_base_passwd o=firma,c=de nss_base_shadow o=firma,c=de nss_base_group o=firma,c=de
Das würde ich anders einrichten, schon um die Suchlast zu reduzieren. Mit dieser Suchbasis wird die gesamte Baumstruktur durchsucht.
Oh ja daran habe ich jetzt garnicht geschaut, wenn dann irgenwann mal viele Systeme am LDAP Hängen, dann würde er sich ja mit den alten Einstellungen Tot suchen, ich hab es mal folgender Maßen eingestellt: nss_base_passwd ou=mars,ou=Test-Systeme,o=firma,c=de nss_base_shadow ou=mars,ou=Test-Systeme,o=firma,c=de nss_base_group ou=mars,ou=Test-Systeme,o=firma,c=de Gibt es eigentlich eine Möglichkeit die Performance von LDAP zu Testen bzw. kann gibt es Tools um bechmarks zu erstellen ? Danke schon mal im voraus für die Hilfe Gruß Merenda Luisa -- GMX DSL = Maximale Leistung zum minimalen Preis! 2000 MB nur 2,99, Flatrate ab 4,99 Euro/Monat: http://www.gmx.net/de/go/dsl