Сообщения

1

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 13 Сентябрь 2017, 09:00:29 »

Может будет кому-то интересно...
В итоге оказалось, что на моей конфигурации не отрабатывалась olcSmbK5PwdEnable: krb5.
А ldif брал из /usr/share/doc/openldap-servers-2.4.-39/README.smbk5pwd


olcSmbK5PwdEnable: samba
так работает.
включаю оба:
olcSmbK5PwdEnable: krb5
olcSmbK5PwdEnable: samba
забастовка.
охо-хо.

2

Общий раздел / Re: LDAP и SELinux

« : 16 Июль 2017, 13:52:24 »

Ну вообще-то selinux и в дебьянах вскийх водится Но скорее всего вы правы, я же свой вопрос и назвал идиотским

3

Общий раздел / LDAP и SELinux

« : 15 Июль 2017, 10:39:56 »

Совершенно идиотский вопрос:
А можно ли в LDAP хранить настройки selinux?

4

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 14 Июль 2017, 21:27:50 »

Короч, не знаю шо я там сделал, но таки запустил это наложение! Работает или нет не успел проверить, да и сил ужо не осталось. Не понимаю, чего не так делал, буду разбираться, т.к. 4 дня убито впустую. Просто не понимаю!

5

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 14 Июль 2017, 11:41:09 »

Извиняюсь за отнимаемое время...
Решил посмотреть как из коробки будет, мало ли я по пути книжки чего напутал.
Установил, добавил схему самбы из дистрибутива, запустил ваш лдиф с добавлением модуля и наложения.
ошибка (34) - плохой dn.
снёс, установил, вашу схему самбы уже добавил (ред хат схему самбы автоматом не ставит), тоже самое...
Надо наверно искать форум сентоводов-красношляпников, мож они чего подскажут
Ну а щас попробую убрать модуль из вашей конфигурации и опять добавить.

6

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 14 Июль 2017, 11:03:35 »

Спасибо, сейчас попробую прикрутить её на centos. Ubuntu позже попинаю.

7

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 14 Июль 2017, 10:16:17 »

Всё есть. И .la и .so. В Centos 6.6 они лежат в /usr/lib64/openldap:

Код: [Выделить]

rpm -ql openldap-servers | grep smb
/usr/lib64/openldap/smbk5pwd-2.4.so.2
/usr/lib64/openldap/smbk5pwd-2.4.so.2.10.2
/usr/lib64/openldap/smbk5pwd.la
/usr/lib64/openldap/README.smbk5pwdсхемы брал из входящих в состав дистрибутива Centos samba и Kerberos. Пробовал и схему самбы с вашего сайта, результат тот же. попробую развернуть на убунте ради интереса и попробовать там.
Я ненавижу ЛДАП и всё с ним связанное
Кстати, в редми модуля редхат чётко написала:
We do not provide Heimdal Kerberos but MIT. Therefore the module is compiled only with Samba features in Fedora and RHEL
Тобишь как я понимаю модуль скомпилили с самбой RHEL. Т.о. и в Centos должно работать же.

8

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 13 Июль 2017, 14:06:40 »

Егор, дико извиняюсь. Чёрт бы побрал этот ЛДАП! И мою невнимательность тоже. Не увидел во что превратился в итоге мой пост. Охо-хох-ох, грехии мои тяжкие... Естественно ldif такой:

Код: [Выделить]

dn: olcOverlay={0}smbk5pwd,olcDatabase={2}bdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSmbK5PwdConfig
olcOverlay: {0}smbk5pwd
olcSmbK5PwdEnable: krb5
olcSmbK5PwdEnable: samba
olcSmbK5PwdMustChange: 2592000Насчёт admin... а я даже и не понимаю как по другому-то? Руководства для ракетчиков я пока читаю по диагонали, а вот в этой конкретной книге-переводе блога конфигурация меняется именно так. Я так и делаю.

9

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 13 Июль 2017, 12:14:31 »

Да уж... Откуда я там аудит выкопал? Торопился утром и фигню напостил.
Ох. Повторю свой пост уже правильно. Конечно я взял из редми http://www.openldap.org/devel/cvsweb.cgi/~checkout~/contrib/slapd-modules/smbk5pwd/README?rev=1.4.2.3&hideattic=1&sortbydate=0
mode.ldif:

Код: [Выделить]

#{0}smbk5pwd, {2}bdb, config
dn: olcOverlay={0}smbk5pwd,olcDatabase={2}bdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSmbK5PwdConfig
olcOverlay: {0}smbk5pwd
olcSmbK5PwdEnable: krb5
olcSmbK5PwdEnable: samba
olcSmbK5PwdMustChange: 2592000В ответ ldapadd -xZZWD cn=admin,dc=bla,dc=bla -f mode.ldif
adding new entry "olc..."
ldap_add:invalid DN syntax (34)
 additional info: invalid DN
по книге решил 11 главу тогда сделать, но наложение к примеру accesslog тоже не хочет подключаться...
Уж помогите убогому, что может быть

10

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 13 Июль 2017, 06:54:17 »

Опять прошу помощи.
Как узнать, собран мой ЛДАП-сервер с поддержкой модулей да оверлеев али нет?
olcModuleLoad: back_mdb.la
olcModuleLoad: back_monitor.la
мне подключать не потребовалось (нет .la и .so), а вот очень нужный smbk5pwd сервак скушал:

Код: [Выделить]

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
#olcModuleLoad: back_bdb.la
#olcModuleLoad: back_monitor.la
olcModuleLoad: smbk5pwd.la
Дальше:

Код: [Выделить]

dn: olcOverlay=smbk5pwd,olcDatabase={2}bdb,cn=config
 changetype: add
 objectClass: olcOverlayConfig
 objectClass: olcAuditLogConfig
 olcOverlay: smbk5pwdНа это при ldapmodify ругань идёт, что мол dn неправильный
Я уже полез на оригинал книги (я тоже на Centos 6.x живу), но у мужыка на блоге все ldif лежали на dropbox и уже умерли.
Я задача синхронизации пароле стоит в полны рост Не самому же на perl это рисовать?

11

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 11 Июль 2017, 14:48:38 »

Спасибо, но теперь я не понимаю как olcAccess менять!
replace: olcAccess
olcAccess: {0}to * и т.д. теперь оставляет всё на месте. К RFC даже боюсь прикасаться. ЛДАП и так придумали какие-то укурки
Про только чтение, как всегда анекдот от ssn. Наверно в какой-то момент рука дрогнула и мышка ткнула на свойствах соединения галочку read only

P.s. Фух, поспешил, таки меняет.

12

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 11 Июль 2017, 11:48:37 »

Извиняюсь за идиотский предыдущий пост:) исправляюсь
ситуация - модификация установленного в centos 6.6 openldap.

olcDatabase={2}bdb.ldif:

Код: [Выделить]

# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 9ea0d094
dn: olcDatabase={2}bdb
objectClass: olcDatabaseConfig
objectClass: olcBdbConfig
olcDatabase: {2}bdb
olcAddContentAcl: FALSE
olcLastMod: TRUE
olcMaxDerefDepth: 15
olcReadOnly: FALSE
olcSyncUseSubentry: FALSE
olcMonitoring: TRUE
olcDbDirectory: /var/lib/ldap
olcDbCacheSize: 1000
olcDbCheckpoint: 1024 15
olcDbNoSync: FALSE
olcDbDirtyRead: FALSE
olcDbIDLcacheSize: 0
olcDbIndex: objectClass pres,eq
olcDbIndex: cn pres,eq,sub
olcDbIndex: uid pres,eq,sub
olcDbIndex: uidNumber pres,eq
olcDbIndex: gidNumber pres,eq
olcDbIndex: mail pres,eq,sub
olcDbIndex: ou pres,eq,sub
olcDbIndex: sn pres,eq,sub
olcDbIndex: givenName pres,eq,sub
olcDbIndex: loginShell pres,eq
olcDbIndex: memberUid pres,eq,sub
olcDbIndex: nisMapName pres,eq,sub
olcDbIndex: nisMapEntry pres,eq,sub
olcDbLinearIndex: FALSE
olcDbMode: 0600
olcDbSearchStack: 16
olcDbShmKey: 0
olcDbCacheFree: 1
olcDbDNcacheSize: 0
structuralObjectClass: olcBdbConfig
entryUUID: 47b68d10-f989-1036-9aa6-fdf2f177b0f6
creatorsName: cn=config
createTimestamp: 20170710070102Z
olcAccess: {0}to attrs=userPassword by self write by anonymous auth
olcAccess: {1}to * by self read
olcSuffix: dc=bla,dc=bla.ru2
olcRootDN: cn=admin,dc=bla,dc=bla.ru2
olcRootPW:: {SSHA}Yxr1klb0iYiP3t2qCq3wZXidjn9/USZn
entryCSN: 20170710080200.917742Z#000000#000#000000
modifiersName: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
modifyTimestamp: 20170710080200Z
меняю
2.6-db-mod.ldif

Код: [Выделить]

dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=bla,dc=bla.ru

dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=bla,dc=bla.ru

dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage by * break
olcAccess: {1}to attrs=userPassword by self write by anonymous auth
olcAccess: {2}to * by self read

dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}Yxr1klb0iYiP3t2qCq3wZXidjn9/USZnНе обращайте внимания, что одно и тоже, просто не стянул исходного.
Получаю:

Код: [Выделить]

# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 9ea0d094
dn: olcDatabase={2}bdb
objectClass: olcDatabaseConfig
...
olcDbDNcacheSize: 0
structuralObjectClass: olcBdbConfig
entryUUID: 47b68d10-f989-1036-9aa6-fdf2f177b0f6
creatorsName: cn=config
createTimestamp: 20170710070102Z
[b]olcAccess:: ezB9dG8gKiBieSBkbi5iYXNlPSJnaWROdW1iZXI9MCt1aWROdW1iZXI9MCxjbj1wZW
 VyY3JlZCxjbj1leHRlcm5hbCxjbj1hdXRoIiBtYW5hZ2UgYnkgKiBicmVhayA=[/b]
olcAccess: {1}to attrs=userPassword by self write by anonymous auth
olcAccess: {2}to * by self read
olcSuffix: dc=bla,dc=bla.ru
olcRootDN: cn=admin,dc=bla,dc=bla.ru
[b]olcRootPW:: e1NTSEF9WXhyMWtsYjBpWWlQM3QycUNxM3daWGlkam45L1VTWm4=[/b]
entryCSN: 20170710080200.917742Z#000000#000#000000
modifiersName: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
modifyTimestamp: 20170710080200Z
Что за ерунда?
А про реадонли: Apache Directory Studio в какой-то момент времени стал на попытки поменять значения атрибутов утверждать, что он подключён в режиме только чтение.

13

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 10 Июль 2017, 21:46:31 »

Оживлю темку
У меня внезапно в сети нарисовался АД и все проблемы тут же улетучились, к моему глубокому сожалению
Но! Возникла другая сеть, и тут пока злого МС нет, поэтому спустя больше года начал опять палочкой тыкать с помощью этой переведённой книжки-костыля в LDAP+Kerberos+Samba. И наткнулся на ужасную вещь. Когда дохожу до инициализации БД (2.6), то значение olcRootPW у меня добавляется вида "№%№;ПИАСУКЕНУ;Ы"№№"КЫ;№ВЕ%;Е%;С№ № , нифига не тот посоленный хэш, что я в ldif прописываю, да ещё и olcAccess{0} (там где для рута права прописываются) такая же ахинея пишется. Но! ldpasearch от этого root работает. Что за напасть???
Да ещё и Apache стал подключаться в режиме read only... бррр...

14

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 13 Февраль 2016, 20:23:08 »

ну мне кажется тут с безопасностью и идеологией кербероса проблемы...
эх... Нет пока опыта эксплуатации... Ну даст бог, через пару лет свои экзерцисы отпишу

15

Книги проекта Pro-LDAP.ru / Re: Книга "OpenLDAP и Ubuntu на практике"

« : 13 Февраль 2016, 08:18:17 »

Уважаемые гуру. Вопрос возник ввиду малограмотности и скудоумия.
Обязательно было поддерево для Кербероса новое заводить в ЛДАП или как описывается в http://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/авторизация_по_сети/kerberos_and_ldap можно слепить вместе пользователей и принципиалов, простым добавлением полей (ну никак от РСУБД не отойду... атрибутов) и не ломать голову над синхронизацией?