Hi Dieter, Am Di 30.Oktober 2007 19:50:35 schrieb Dieter Kluenter:
Falk Sauer
writes: OK, dann vergleiche mal beide ldap.conf genau, insbesondere die Werte für pam_groupdn, pam_member_attribute, nss_schema
mach ich, aber wie gesagt, nächste Woche.
1. getent group liefert mir alle gruppen. 2. id username liefert nur die haupt-gruppe des users, nicht die anderen Gruppenmitgliedschaften des users.
Möglicherweise muss da der Suchfilter in ldap.conf verändert Werden. Welcher Wert hat denn pam_filter.
schau ich nach
Das kann mehrere Ursachen haben, ich weiss nicht wie SuSE die Gruppenmitgliedschaften organisiert, als Attribut des Users oder der User als member Attribut der Gruppe. Wenn der User als member Attributwert verwaltet wird, ist ein zweiter Suchlauf notwendig.
zur Struktur siehe Antwort an Arno.
ein 2. suchlauf? Die user stehen in ou=Users,dc=example,dc=de, die Gruppen in ou=Groups,dc=example,dc=de als memberUid Attribut in cn's - den gruppen.
Wie stösst man denn da einen 2. suchlauf an?
In simpel gesprochen macht id ein ldapsearch mit dem attribut uid=foo unter dem in ldap.conf definierten Zweig nss_base_passwd und nss_base_shadow und bekommt dann die entsprechenden Werte aus dem Eintrag von uid=foo zurückgeliefert, getent group sucht nach im ldap.conf definierten Zweig nss_base_group und sucht nach dem pam_member_attribute
Um beides zu verbinden, kann man in ldap.conf pam_filter einen entsprechenden Suchfilter definieren.
ok, jetzt kommen wir der Sache Verständismäßig gaanz langsam näher, was mir dabei nicht ganz klar ist, ist was zb. id von dem ldap genau für ein Ergebnis erwartet. Wenn zb. die Abfrage nach uid=foo Ergebnisse liefert für uidNumber=1234,gidNumber=5678 etc. sollten dann die Ergebnisse für weitere Gruppen also gleich mit kommen? Oder in simpel sprech: der getent group geht nur auf den nss_base_group los und kriegt von dem _nur_ Gruppen und der id will von dem nss_base_passwd alles für diesen User in einem haben und schaut selber nicht nach dem was in nss_base_group steht? das würde bedeuten das bei pam_filter praktisch sowas ähnliches mit drin stehen müsste: sub ?(&(objectClass=PosixGroup)(memberUid=foo)(gidNumber=*)) wobei mir noch völlig unklar ist wie ich den Teil der bis jetzt funktioniert (aus dem ou=Users,dc=example,dc=de) dazu packe und wie ich die Variable foo nach der aktuell gesucht wird an den Filter zu übergeben habe. Das was bei man ldap.conf kommt ist nicht mal ein bruchteil von dem was in einer /etc/ldap.conf schon von Haus aus drin steht, gibts irgendwo was zum Nachlesen mit Beispielen wo auch die Parameter drin stehen die du anführst?
Diesen Loglevel gibt es nicht und ein Eintrag in ldap.conf (egal welcher der beiden) wird nicht von slapd ausgelesen, die einzige Stelle ist slapd.conf, oder noch besser direkt in's config backend schreiben.
nein, der lokale client loggt dann wie ein wilder.
Das verstehe ich nicht, welcher lokale client loggt wohin und was
der lokale LDAP Client (nehme ich an) beim Ausführen von id oder getent auf stderr, das 'was' kann ich dir nächste Woche posten. Gruss Falk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org