Hi Dieter, Dieter Kluenter schrieb:
Falk Sauer
writes: Hi Dieter,
Dieter Kluenter schrieb:
Falk Sauer
writes: Am Di 30.Oktober 2007 21:28:30 schrieb Arno Lehmann:
30.10.2007 16:58,, Falk Sauer wrote:: [...] dn: cn=its,ou=group,dc=xxx,dc=de cn: its gidNumber: 2001 member: uid=its-info,ou=people,dc=xxx,dc=de member: uid=its-admin,ou=people,dc=xxx,dc=de member: uid=arno,ou=people,dc=xxx,dc=de member: uid=its-al,ou=people,dc=xxx,dc=de objectClass: top objectClass: posixGroup objectClass: groupOfNames
Ich hab mir das Problem nochmal vorgenommen, und nach dem intensiven Betrachten der alten ldap.conf und eurer tipps bin ich dann auf folgende funktionierende version gekommen.
host ldapserver.example.de base dc=example,dc=de ldap_version 3 binddn cn=Manager,dc=example,dc=de bindpw gazfurchtbargeheim rootbinddn cn=Manager,dc=example,dc=de port 389 pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute memberuid pam_password exop nss_map_attribute uniqueMember member nss_base_passwd ou=Users,dc=example,dc=de?one nss_base_shadow ou=Users,dc=example,dc=de?one nss_base_group ou=Groups,dc=example,dc=de?one
Darf ich dazu noch meinen persönlichen Senf hinzufügen? rootdn darf auf dem LDAP-Server einfach alles, ist also viel zu gefährlich diese Identität in einer unkontrollierten Anwendung zu konfigurieren. Zur Administration von Prozessen habe ich diverse Administratoren definiert, z.B. cn=mailadmin, cn=sambaAdmin, usw. und diesen Administratoren Schreibrechte auf den entsprechen Subtrees eingeräumt. Zur Erläuterung mal ein Muster:
cn=systemAdministrator,dc=example,dc=de objectclass: person cn: systemAdministrator sn: systemAdministrator userPassword: xxxx
access to dn.subtree="ou=Users,dc=example,dc=de by dn.exact="cn=systemAdministrator,dc=example,dc=de" write by users read acess to dn.subtree="ou=Groups,dc=example,dc=de by dn.exact="cn=systemAdministrator,dc=example,dc=de write by users read
und in ldap.conf
binddn cn=Manager,dc=example,dc=de bindpw gazfurchtbargeheim # rootbinddn cn=Manager,dc=example,dc=de
Das hab ich hier normalerweise auch so, aber ich wollte das Zwischenergebnis nicht länger zurückhalten, und für die Fehlersuche ist es imho besser nicht noch ein potentielles Problem zu haben. Es gibt für jeden produktiven dienst einen separaten user der jeweils in einer eigenen cn unter ou=Auth,dc=example,dc=de liegt. Auf der Samba Howto seite waren damals ein paar schöne Anleitungen genau dazu verlinkt. Nachdem der Betriebssystem Teil nun geht wollte ich dann mit cyrus weiter machen, aber ich fürchte das gibt noch einen weiteren Thread. :-/ Gruss Falk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org