Сообщения

1

Общий раздел / Re: Попытка подружить LDAP и Kerberos

« : 02 Декабрь 2016, 08:23:50 »

OldVedmak, на первый взгляд в kdc.conf не хватает названия раздела, [kdcdefaults]

2

Общий раздел / Re: Ошибка конфигурации Kerberos

« : 05 Октябрь 2016, 08:54:48 »

marawu,
На первый взгляд похоже, что ошибка может быть вызвана этими строчками:

Код: [Выделить]

ldap_kdc_dn = cn=krbadmin,ou=Special Users,dc=mydomain,dc=com
ldap_kadmind_dn = cn=krbadmin,ou=Special Users,dc=mydomain,dc=com
В названии OU присутствует пробел. Попробуйте экранировать его с помощью \ или заключить всё определение записи в кавычки:

Код: [Выделить]

ldap_kdc_dn = "cn=krbadmin,ou=Special Users,dc=mydomain,dc=com"
ldap_kadmind_dn = "cn=krbadmin,ou=Special Users,dc=mydomain,dc=com"

3

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 06 Апрель 2016, 13:25:57 »

Оно так и должно быть или можно/нужно/правильнее в nslcd (как-то) изменить запросы в ldap?

У меня точно работало с числовыми идентификаторами. Правда я указывал их по-одному, например:

Код: [Выделить]

dn: cn=sysadmin,ou=groups,dc=example,dc=com
objectClass: posixGroup
objectClass: top
cn: sysadmin
gidNumber: 5000
description: UNIX systems administrators
memberUid: 10000
memberUid: 20000
Скорее всего из-за этого и проблемы.

4

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 06 Апрель 2016, 11:46:44 »

Приветствую, unmyke!

Покажите, пожалуйста, записи из DIT для группы sysadmin и  пользователя test.user.
А так же ACL для Вашего DIT.

5

Общий раздел / Re: [решено] OpenLDAP, CentOS 6.7 не заводится авторизация

« : 15 Февраль 2016, 14:56:54 »

NOPA, что-то я не очень понимаю. Вы одновременно пытаетесь использовать sssd и pam_ldap?

6

Общий раздел / Re: Управление LDAP + Kerberos

« : 15 Февраль 2016, 13:28:07 »

NOPA, Вам в помощь статья из официальной документации:
http://web.mit.edu/kerberos/krb5-current/doc/admin/conf_ldap.html

И ссылка, уже упоминавшаяся в другой теме:
http://help.ubuntu.ru/wiki/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_ubuntu_server/%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F_%D0%BF%D0%BE_%D1%81%D0%B5%D1%82%D0%B8/kerberos_and_ldap

Всё возможно.

7

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 13 Февраль 2016, 13:59:11 »

ssn, честно, не пробовал 
Но я искренне верю, что проблем возникнуть не должно.

Уж простите за такой ответ.

8

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 10 Февраль 2016, 12:44:05 »

ssn, весьма советую глянуть, что такое sssd. Я тут на днях попробовал - мне очень понравилось. Значительно упрощает наше руководство. Когда созрею - сделаю в нём новый раздел про sssd.

9

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 10 Февраль 2016, 12:03:44 »

2 вопроса:
1. Корректно ли настроена обратная зона?
2. Пробовали ли выполнить kinit и ldapwhoami от имени обычного пользователя, а не root?

10

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 10 Февраль 2016, 11:39:24 »

ssn, а каким DNS-сервером пользуетесь?

11

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 10 Февраль 2016, 09:19:54 »

Прежде чем выполнять вот это:

Код: [Выделить]

root@mail openldap# ldapwhoami
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
        additional info: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Cannot determine realm for numeric host address)


... Надо выполнить два действия:
1. Связать OpenLDAP и Kerberos через параметр export KRB5_KTNAME=/etc/ldap/krb5.keytab в файле /etc/default/slapd.
(для CentOS это будет параметр KRB5_KTNAME=/etc/openldap/krb5.keytab и файл /etc/sysconfig/ldap соответственно)
2. Успешно получить билет для администратора от KDC с помощью kinit. И проверить его наличие с помощью klist.

Только после этого можно надеяться на успех.

12

Общий раздел / Re: Kerberos KDC с использованием OpenLDAP в качестве бэкэнда

« : 14 Январь 2016, 17:11:08 »

regul8or, к сожалению, мой диагноз не утешительный.

Скорее всего служба KDC не стартует потому, что некорректно созданы записи для принципалов. А это, в свою очередь, произошло потому, что на этапе создания контейнера для принципалов и позже нужно вручную синхронизировать ключи из keytabs серверов KDC и LDAP.

Увы, в ближайшее время я не смогу воссоздать конфигурацию с раздельными серверами и найти источник проблемы. Слишком много работы. Могу лишь порекомендовать поднять всё на одном сервере.

13

Общий раздел / Re: Kerberos KDC с использованием OpenLDAP в качестве бэкэнда

« : 14 Январь 2016, 16:58:28 »

Погодите! Так сервис KDC не работает и не запускается?

Код: [Выделить]

# service krb5-kdc start

14

Общий раздел / Re: Kerberos KDC с использованием OpenLDAP в качестве бэкэнда

« : 14 Январь 2016, 16:44:24 »

Откровенно говоря, разносить сервисы KDC и LDAP на разные серверы я не пробовал.

Но возможно я знаю, в чём проблема. Попробуйте сначала получить тикет от KDC:

Код: [Выделить]

$ kinit -p krbadm/admin@REGUL8OR.HOMEИли

Код: [Выделить]

$ kinit -p krbadm@REGUL8OR.HOMEИ проверьте, получили ли вы тикет с помощью

Код: [Выделить]

$ klist
А затем попробуйте запустить kadmin.local.

15

Общий раздел / Re: Kerberos KDC с использованием OpenLDAP в качестве бэкэнда

« : 14 Январь 2016, 16:13:01 »

Похоже, что Вы не загрузили ACL 9.1-kerberos.acl.ldif (Раздел 9.1 руководства).
Чтобы kadmin.local имел права доступа к принципалам Kerberos, его надо запускать от суперпользователя, это верно. Но и самому суперпользователю должно быть разрешено читать принципалов из базы.

Поэтому ACL для Вашей БД должен начинаться так:

Код: [Выделить]

dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to *
by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
by * break
olcAccess: {1}to attrs=userPassword...

Попробуйте загрузить ACL 9.1-kerberos.acl.ldif, проверьте, корректно ли он загрузился и ещё раз запустите kadmin.local от суперпользователя.