Re: [gelöst] Re: 10.3 und LDAP-Auth

7 Nov 2007

      Hi Dieter,

Dieter Kluenter schrieb:
...
Falk Sauer  writes:
...
Hi Dieter,
Dieter Kluenter schrieb:
...
Falk Sauer  writes:
...
Am Di 30.Oktober 2007 21:28:30 schrieb Arno Lehmann:
...
30.10.2007 16:58,, Falk Sauer wrote::
[...]
dn: cn=its,ou=group,dc=xxx,dc=de
cn: its
gidNumber: 2001
member: uid=its-info,ou=people,dc=xxx,dc=de
member: uid=its-admin,ou=people,dc=xxx,dc=de
member: uid=arno,ou=people,dc=xxx,dc=de
member: uid=its-al,ou=people,dc=xxx,dc=de
objectClass: top
objectClass: posixGroup
objectClass: groupOfNames
...
Ich hab mir das Problem nochmal vorgenommen, und nach dem intensiven
Betrachten der alten ldap.conf und eurer tipps bin ich dann auf folgende
 funktionierende version gekommen.
host    ldapserver.example.de
base    dc=example,dc=de
ldap_version    3
binddn cn=Manager,dc=example,dc=de
bindpw gazfurchtbargeheim
rootbinddn cn=Manager,dc=example,dc=de
port 389
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberuid
pam_password    exop
nss_map_attribute       uniqueMember member
nss_base_passwd ou=Users,dc=example,dc=de?one
nss_base_shadow ou=Users,dc=example,dc=de?one
nss_base_group  ou=Groups,dc=example,dc=de?one
Darf ich dazu noch meinen persönlichen Senf hinzufügen?
rootdn darf auf dem LDAP-Server einfach alles, ist also viel zu
gefährlich diese Identität in einer unkontrollierten Anwendung zu
konfigurieren. Zur Administration von Prozessen habe ich diverse
Administratoren definiert, z.B. cn=mailadmin, cn=sambaAdmin, usw. und
diesen Administratoren Schreibrechte auf den entsprechen Subtrees
eingeräumt. Zur Erläuterung mal ein Muster:
cn=systemAdministrator,dc=example,dc=de
objectclass: person
cn: systemAdministrator
sn: systemAdministrator
userPassword: xxxx
access to dn.subtree="ou=Users,dc=example,dc=de
       by dn.exact="cn=systemAdministrator,dc=example,dc=de"
       write
       by users read
acess to dn.subtree="ou=Groups,dc=example,dc=de
      by dn.exact="cn=systemAdministrator,dc=example,dc=de
      write
      by users read
und in ldap.conf
binddn cn=Manager,dc=example,dc=de
bindpw gazfurchtbargeheim
# rootbinddn cn=Manager,dc=example,dc=de
Das hab ich hier normalerweise auch so, aber ich wollte das
Zwischenergebnis nicht länger zurückhalten, und für die Fehlersuche
ist es imho besser nicht noch ein potentielles Problem zu haben.

Es gibt für jeden produktiven dienst einen separaten user der jeweils
in einer eigenen cn unter ou=Auth,dc=example,dc=de liegt. Auf der
Samba Howto seite waren damals ein paar schöne Anleitungen genau dazu
verlinkt.

Nachdem der Betriebssystem Teil nun geht wollte ich dann mit cyrus
weiter machen, aber ich fürchte das gibt noch einen weiteren Thread. :-/

Gruss
    Falk

-- 
Um die Liste abzubestellen, schicken Sie eine Mail an:
    opensuse-de+unsubscribe@opensuse.org
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@opensuse.org