Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Сообщения - Sdoba

Страницы: [1] 2
1
OldVedmak, на первый взгляд в kdc.conf не хватает названия раздела, [kdcdefaults]

2
marawu,
На первый взгляд похоже, что ошибка может быть вызвана этими строчками:
ldap_kdc_dn = cn=krbadmin,ou=Special Users,dc=mydomain,dc=com
ldap_kadmind_dn = cn=krbadmin,ou=Special Users,dc=mydomain,dc=com

В названии OU присутствует пробел. Попробуйте экранировать его с помощью \ или заключить всё определение записи в кавычки:
ldap_kdc_dn = "cn=krbadmin,ou=Special Users,dc=mydomain,dc=com"
ldap_kadmind_dn = "cn=krbadmin,ou=Special Users,dc=mydomain,dc=com"

3
Цитировать
Оно так и должно быть или можно/нужно/правильнее в nslcd (как-то) изменить запросы в ldap?

У меня точно работало с числовыми идентификаторами. Правда я указывал их по-одному, например:
dn: cn=sysadmin,ou=groups,dc=example,dc=com
objectClass: posixGroup
objectClass: top
cn: sysadmin
gidNumber: 5000
description: UNIX systems administrators
memberUid: 10000
memberUid: 20000

Скорее всего из-за этого и проблемы.

4
Приветствую, unmyke!

Покажите, пожалуйста, записи из DIT для группы sysadmin и  пользователя test.user.
А так же ACL для Вашего DIT.

5
NOPA, что-то я не очень понимаю. Вы одновременно пытаетесь использовать sssd и pam_ldap?

7
ssn, честно, не пробовал  ;D
Но я искренне верю, что проблем возникнуть не должно.

Уж простите за такой ответ.

8
ssn, весьма советую глянуть, что такое sssd. Я тут на днях попробовал - мне очень понравилось. Значительно упрощает наше руководство. Когда созрею - сделаю в нём новый раздел про sssd.

9
2 вопроса:
1. Корректно ли настроена обратная зона?
2. Пробовали ли выполнить kinit и ldapwhoami от имени обычного пользователя, а не root?

10
ssn, а каким DNS-сервером пользуетесь?

11
Прежде чем выполнять вот это:

root@mail openldap# ldapwhoami
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
        additional info: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Cannot determine realm for numeric host address)

... Надо выполнить два действия:
1. Связать OpenLDAP и Kerberos через параметр export KRB5_KTNAME=/etc/ldap/krb5.keytab в файле /etc/default/slapd.
(для CentOS это будет параметр KRB5_KTNAME=/etc/openldap/krb5.keytab и файл /etc/sysconfig/ldap соответственно)
2. Успешно получить билет для администратора от KDC с помощью kinit. И проверить его наличие с помощью klist.

Только после этого можно надеяться на успех.

12
regul8or, к сожалению, мой диагноз не утешительный.

Скорее всего служба KDC не стартует потому, что некорректно созданы записи для принципалов. А это, в свою очередь, произошло потому, что на этапе создания контейнера для принципалов и позже нужно вручную синхронизировать ключи из keytabs серверов KDC и LDAP.

Увы, в ближайшее время я не смогу воссоздать конфигурацию с раздельными серверами и найти источник проблемы. Слишком много работы. Могу лишь порекомендовать поднять всё на одном сервере.

13
Погодите! Так сервис KDC не работает и не запускается?
# service krb5-kdc start

14
Откровенно говоря, разносить сервисы KDC и LDAP на разные серверы я не пробовал.

Но возможно я знаю, в чём проблема. Попробуйте сначала получить тикет от KDC:
$ kinit -p krbadm/admin@REGUL8OR.HOMEИли
$ kinit -p krbadm@REGUL8OR.HOMEИ проверьте, получили ли вы тикет с помощью
$ klist
А затем попробуйте запустить kadmin.local.

15
Похоже, что Вы не загрузили ACL 9.1-kerberos.acl.ldif (Раздел 9.1 руководства).
Чтобы kadmin.local имел права доступа к принципалам Kerberos, его надо запускать от суперпользователя, это верно. Но и самому суперпользователю должно быть разрешено читать принципалов из базы.

Поэтому ACL для Вашей БД должен начинаться так:

dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to *
by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
by * break
olcAccess: {1}to attrs=userPassword...

Попробуйте загрузить ACL 9.1-kerberos.acl.ldif, проверьте, корректно ли он загрузился и ещё раз запустите kadmin.local от суперпользователя.

Страницы: [1] 2
Эта страница

Содержание

Новости:
Форум проекта Pro-LDAP.ru
OpenLDAP 2.4 Руководство

Содержание

Введение в службы каталогов OpenLDAPБыстрое развёртывание и начало работыОбщая картина - варианты конфигурацииСборка и установка OpenLDAPНастройка slapd

 

Конфигурационный файл slapdЗапуск slapdКонтроль доступаОграниченияИнструментыМеханизмы манипуляции даннымиНаложенияСпецификация схемы

 

БезопасностьSASLTLSРаспределённая служба каталоговРепликацияОбслуживаниеМониторингПроизводительностьУстранение неполадок
Перевод официального руководства OpenLDAP 2.4 Admin Guide
Полное содержание здесь
LDAP для учёных-ракетчиков

Содержание

О книгеКонцепции LDAPОбъекты LDAPУстановка LDAPПримерыНастройкаРепликация и отсылкиLDIF и DSMLПротоколLDAP API

 

HOWTOНеполадкиПроизводительностьИнструменты LDAPБезопасностьЗаметкиРесурсы LDAPRFC и X.500ГлоссарийОбъекты
Перевод "LDAP for Rocket Scientists"
Полное содержание здесь
Ресурсы

Книги

Руководство OpenLDAP 2.4LDAP для учёных-ракетчиков

Другие

СтатьиТермины LDAPman-страницы OpenLDAP 2.4Список RFCКлиенты LDAPФайлы наборов схемы
Полезные ресурсы
Форум

 

Разделы форумаНепрочитанные сообщенияПоследние сообщения
Форум проекта
Главная

Pro-LDAP.ru

О проектеНовости проектаУчастникиСтаньте участником!Сообщите об ошибке!Об авторских правахСоглашения проекта
Присоединяйсь!