Сообщения

1

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 07 Апрель 2016, 05:40:28 »

Да, так же в RFC2307 сказано:

To avoid confusion, the term "login name" refers to the user's login name (being the value of the uid attribute) and the term "user ID" refers to he user's integer identification number (being the value of the uidNumber attribute).

Возможно, по этой же логике memberUid должно содержать uid, а не uidNumber.

Еще раз спасибо, Егор, без подсказки в лс не разобрался бы в сути!

2

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 06 Апрель 2016, 13:10:07 »

Приветствую, unmyke!

Покажите, пожалуйста, записи из DIT для группы sysadmin и  пользователя test.user.
А так же ACL для Вашего DIT.

Добрый день, Sdoba.

Получилось добиться желаемого результата, но с указанием другого значения в memberUID

Код: ("test.user") [Выделить]

dn: cn=test.user,ou=users,dc=example,dc=com
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
objectClass: top
cn: test.user
gidNumber: 20000
homeDirectory: /home/test.user
uid: test.user
uidNumber: 20000
gecos: Test User
loginShell: /bin/bash
shadowLastChange: 15140
shadowMax: 99999
shadowMin: 0
shadowWarning: 7
userPassword:: e1NFEgF9R0tkNEZPcG1hYjJ2Yls1WOGRsclIdkJO109tZTYyMlE=


Код: ("sysadmin изначально был") [Выделить]

dn: cn=sysadmin,ou=groups,dc=example,dc=com
objectClass: posixGroup
objectClass: top
cn: sysadmin
gidNumber: 5000
description: UNIX systems administrators
memberUid: 10000,20000

Отключил nscd, включил дебаг nslcd (спасибо за подсказку egor'у), там увидел запрос

Код: ("nss-pam-ldapd v. 0.8.13") [Выделить]

nslcd: [3ab105] <group/member="test.user"> DEBUG: myldap_search(base="ou=groups,dc=example,dc=com", filter="(&(objectClass=posixGroup)(|(memberUid=test.user)(member=cn=test.user,ou=users,dc=example,dc=com)))")
Изменил memberUid на 'test.user', добавил еще один атрибут memberUid: username (который 10000) — заработало.

Оно так и должно быть или можно/нужно/правильнее в nslcd (как-то) изменить запросы в ldap?

3

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 05 Апрель 2016, 14:24:19 »

Добрый день, уважаемые,
Застрял на Главе 6 "Настройка OpenLDAP в качестве хранилища правил sudo" с такой проблемой:
В группу sysadmin добавил тестового пользователя. С клиента можно посмотреть пользователя и группу

Код: (sudo getent group sysadmin) [Выделить]

sysadmin:*:5000:10000,20000


Код: (sudo getent passwd test.user) [Выделить]

test.user:x:20000:20000:Test User:/home/test.user:/bin/zsh
Но при этом при sudo пользователю не разрешен:

Код: (sudo -l -U test.user) [Выделить]

Пользователю test.user не разрешается запускать sudo в  hostname.При этом на ldap-сервер уходит запрос '(|(sudoUser=test.user)(sudoUser=%test.user)(sudoUser=%#20000)(sudoUser=ALL))', т.е. поиск в группе по memberUID не происходит, соответсвенно, пользователю test.user в sudo отказано.

Так же нет вывода supplementary групп при запуске id %username%:

Код: (sudo id test.user) [Выделить]

uid=20000(test.user) gid=20000(test.user) группы=20000(test.user)

Код: (sudo cat /etc/nsswitch.conf) [Выделить]

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis ldap
sudoers: files ldap
Подтолкните, пожалуйста, куда надо обратить внимание.

p.s.
да, в этой же главе имеется ошибка в п.6.1.:

Для конвертации этого файла в LDIF воспользуемся скриптом /usr/share/doc/sudo-ldap/sudoers2ldif.gz из пакета sudo-ldap:

Код: [Выделить]

$  zcat /usr/share/doc/sudo-ldap/sudoers2ldif.gz > 6.1-sudoers2ldif
$  SUDOERS_BASE=ou=sudo,ou=services,dc=example,dc=com perl 6.1-sudoers2ldif 6.1-sudoers.source > sudoers.ldif

а далее по тексту импортируется файл 6.1-sudoers.ldif