Темы

1

Конфигурация через cn=config / Смена пароля и ppolicy.

« : 02 Июнь 2015, 09:03:36 »

Всем доброго времени суток!
Вот в чем проблемка, вкратце:
Есть у меня вэб-интерфейс по смене паролей учетных записей пользователей, зайдя на него пользователь может изменить свой текущий (истекший\не истекший) пароль. "Качество" пароля я проверяю сам на стороне клиента (JS'ом) и на сервере (php), в случае если пароль прошел проверку - то просто меняю текущее значение атрибута userPassword, в учетке пользователя, на новый пароль (замену атрибута делаю от имени учетки, для которой разрешен доступ на запись к атрибутам userPassword)... ну и время последней смены пароля корректирую заодно... как то так.
И вот такое дело, захотел прикрутить ppolicy чтоб все проверки осуществлял ldap ( + добавить таки штуки как: предельное кол-во попыток ввода пароля после которого будет происходить блокировка учетки; вести историю паролей - чтоб не вводили одни и те же... ну и прочие интересные штуки).
И вот в чем вопрос: будет ли отрабатывать ppolicy в том случае если изменение пароля будет происходить через мой "супер интерфейс"(т.е. тупой заменой значения userPassword от рута)?

2

Схема данных, наборы Schema, объектные классы, атрибуты и другое / Схема с атрибутом authorizationRole?

« : 23 Декабрь 2014, 16:44:03 »

Все доброго времени суток!
Собственно, понадобился атрибут authorizationRole, а вот схему с таким атрибутом найти не могу((
Не уверен есть ли вообще какая-нибудь "стандартная" схема с таким атрубутом...
Может кто встречал?

3

Схема данных, наборы Schema, объектные классы, атрибуты и другое / Пароль для групп.

« : 05 Февраль 2014, 11:48:30 »

Всем доброго времени суток!
Необходимо добавить в уч.запись группы пароль. При создании уч.записи группы использую атрибут userPassword (опциональный атрибут (MAY), входит в состав класса posixGroup), если я все правильно понял то этот атрибут и отвечает за пароль группы.
Далее выполняю команду sg <группа_из_ldap> (временно делает пользователя членом указанной группы), выводиться приглашение ввести пароль, ввожу - но получаю сообщение о том что пароль не верный...
Аутентификация/авторизация настроена через ldap, работает исправно...а вот sg не работате(
Что может быть, посоветуйте?

4

Конфигурация через cn=config / Ведение лога с помощью olcLogFile

« : 05 Апрель 2013, 07:18:31 »

Всем доброго времени суток!
Хотел настроить ведение логов OpenLDAP через olcLogFile, для этого создал  сам лог-файл /var/log/ldap.log - назначил права доступа 660 и владельца ldap:ldap, ну и конечно же добавил в cn=config.ldif директиву olcLogFile:

Код: [Выделить]

dn: cn=config
changetype:modify
add: olcLogFile
olcLogFile: /var/log/ldap.log

Но лог-фай пуст! Для чистоты эксперимента перезагрузил slapd - никаких изменений!

Конечно есть вариант настройки логирования через syslog:

Код: [Выделить]

/etc/rsyslog.conf:
local4.*                        /var/log/ldap.log

Но все же хочется знать как настроить именно через olcLogFile, т.е. может ли вообще  OpenLDAP работать с лог-файлами напрямую, а не через syslog?

5

Конфигурация через cn=config / Индексация атрибутов

« : 14 Март 2013, 14:37:48 »

Всем доброго времени суток!
Просматривал лог ldap'a и обнаружил вот такого типа сообщения:

Код: [Выделить]

Mar 14 11:39:28 ldapserv slapd[12674]: <=bdb_equality_candidates: (uidNumber) not indexed
Mar 14 11:39:31 ldapserv slapd[12674]: <=bdb_substringing_candidates: (uid) not indexed
В из документации вычитал что, если такие сообщения появляются довольно часто, то нужно нужно провести индексацию этих атрибутов. Проверил как часто данные сообщения появляются:

Код: [Выделить]

# grep indexed /var/log/ldap.log | cut -d " " -t 7,8 | sort | uniq -c
6         <=bdb_equality_candidates:     (gidNumber)
191647    <=bdb_equality_candidates:     (uidNumber)
537       <=bdb_equality_candidates:     (uniqueMember)
11        <=bdb_substringing_candidates: (uid)

Для того чтобы проиндексировать эти атрибуты сделал вот что:
0) Остановил slapd;
1) Сделал экспорт каталога в ldif (это меня и спасло) командой slapcat, а также скопировал директорию где хранится сама БД bdb - /var/log/ldap/;
2) В файл /etc/openldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif добавил следующие строки:

Код: [Выделить]

olcDbIndex: uidNumber eq
olcDbIndex: uniqueMember eq
3) Запустил slapd;
Запуск прошел успешно, в логах ошибок не было, в директории где хранится bdb появились файлы uidNumber.bdb и uniqueMember, НО только после индексации пользователи не могли удаленно подключаться к серверам(ldap-применяется для аутентификации пользователей) - серверы разрывали соединения.

Началась паника   

Начал восстанавливать каталог - сначала просто удалил всю директорию с текущей БД /var/log/ldap/ и скопировал туда резервную копию БД (см. выше пункт №2) - запустил slapd - в БД оказался каталог 2х месячной давности, из этого сделал вывод что все изменения в записях каталога slapd не скидывал в БД.
Удалил /var/log/ldap/ - и импортировал ldif каталога - все вернулось на место!

Хотелось бы разобраться в следующий вопросах:
1) Правильно ли провел индексацию?
2) Почему после индексации пользователи не смогли аутенифицироваться через ldap, может у кого было такое же?
3) Индексацию нужно проводить только на мастер-ldap-сервере или нужно делать тоже самое на slave (настроена репликация refreshOnly)?
4) Как сделать чтобы при изменении/добавлении записи в каталог slapd скидывал всю инфу в bdb сразу ну или через заданный промежуток времени?
5) Можно ли делать slapcat при работающем slapd (openldap 2.4.23)?

6

Access Control List (ACL) / Проблема с ACL: access to attribute userPassword, value #0 not allowed

« : 27 Ноябрь 2012, 20:50:08 »

Всем доброго времени суток!
Проблема вот в чем:
Был настроен ACL вот так:

Код: [Выделить]

     olcAccess: {0}to attrs=userPassword,description by dn="cn=repluser,ou=mycomp,o=org" read by * auth
     olcAccess: {1}to * by * readВсе прекрасно работало, пользователи могли аутентифицироваться/авторизовываться и могли видеть все аттрибуты кроме userPassowrd и description - их мог читать только cn=repluser(для репликации католога на слэйв-сервер).
А потом все прекратилось! Вот что вижу в логе:
   

Код: [Выделить]

send_search_entry: conn 1009 access to attribute userPassword, value #0 not allowedПри этом getent, ldapsearch работают как надо.
Удаляю ACL - и опа на - аутентифиция/авторизация работает! - ну так нельзя! - пользователю незачем видеть userPassword!
Что за чудеса?( - раньше все с ACL работало...
В чем дело, куда  смотреть?

P.S.
Началось все после переименования ldap-сервера(но не факт).

7

Конфигурация через cn=config / Как переименовать DIT?

« : 10 Октябрь 2012, 21:26:34 »

Всем доброго времени суток!
Вот в чем мой вопрос: в настоящий момент есть DIT с суффиксом olcSuffix: ou=example,o=net, под него БД - bdb, в ней хранаяться записи о пользователях - пользователей добавлял используя, например, dn: uid=user,ou=example,o=net, так вот, если  я поменяю olcSuffix на оu=mycompany,o=net, записи о пользвателях в БД тоже изменяться на, к примеру, uid=user,ou=mycompany,o=net?
Т.е. достаточно ли сменить суффикс в  olcDatabase={Х}bdb,cn=config чтобы можно было иметь доступ к записям в БД используя новый суффикс?
Или каким образом это можно сделать? И как правильно поменять суффикс?

8

Схема данных, наборы Schema, объектные классы, атрибуты и другое / account и person

« : 27 Сентябрь 2012, 21:03:49 »

Всем привет!
Как сделать так чтобы можно было использовать два структурных класса account и person в определении записи?
В инете нагуглил что можно просто в схеме поменять тип класса на вспомогательный - попробовал сделать account - AUXILIARY - вроде работает, но чем это черевато? Какие могут быть плачевные последствия?
Может можно еще как то это реализовать?