Автор Тема: slapd.conf для интеграции с AD  (Прочитано 26711 раз)

Fredo

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
slapd.conf для интеграции с AD
« : 14 Май 2014, 12:44:35 »
Добрый день.

Прошу Вас помощи в настройке файла slapd.conf для интеграции с AD Windows Server 2008R2. Нужно для того что бы в SquidGuard отрабатывал механизм ldapsearch.

Опишу свои действия пошагово, что бы проще было указать на мою ошибку в действиях.

1. Устанавливаю slapd и ldap-utils.

2. Выполняю dpkg-reconfigure slapd и указываю следующие настройки:
   
   - DNS - ylrus.com
   - Organization name -ylrus.com
   - Далее пароль администратор
    - Database backend - HDB
   - Removed when slapd is purged - yes
   - Move old database - yes
  -  Allow LDAPv2 protocol - yes
 
После этого Slapd успешно устанавливается и стартует.

3. Добавляю в файил ldap.conf строчку

Base dc=ylrus, dc=com

4. Запускаю команду ldapsearch -x dc=ylrus,dc=com получаю следующее:

manager@vs-msk00-prx02:~$ ldapsearch -x dc=ylrus,dc=com
# extended LDIF
#
# LDAPv3
# base <dc=ylrus,dc=com> (default) with scope subtree
# filter: dc=ylrus,dc=com
# requesting: ALL
#

# search result
search: 2
result: 0 Success

5. Останавливаю Slapd , перемещаю папку Slapd.d и создаю в папке ldap фаил slapd.conf следующего содержания:

# Import our schema
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/nis.schema
# Support both LDAPv2 and LDAPv3
allow bind_v2
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
Loglevel 1
# Our slapd-ldap back end to connect to AD
database ylrus.com
suffix "cn=svcSquidGuard,dc=ylrus,dc=com"
subordinate
rebind-as-user
uri ldap://s-msk00-gdc01.ylrus.com/
chase-referrals yes
# Our primary back end
database HDB
suffix "dc=ylrus,dc=com"
rootdn "cn=admin,dc=ylrus,dc=com"
rootpw "passw0rd"
directory /var/lib/ldap
# Indexes for this back end
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uid eq,pres,sub

6. В /etc/default/slapd прописываю строчку: SLAPD_CONF=/etc/ldap/slapd.conf

7. Стартую slapd, получаю FAIL. В логах пишется /etc/ldap/slapd.conf: line 12: <database> failed init (ylrus.com).

Объясните пожалуйся какую базу данных надо указывать для корректной интеграции slapd с АD?

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: slapd.conf для интеграции с AD
« Ответ #1 : 15 Май 2014, 01:58:48 »
Здравствуйте!
Сразу бросается в глаза строка в slapd.conf:
Цитировать
# Our slapd-ldap back end to connect to AD
database ylrus.com
Её надо заменить на
# Our slapd-ldap back end to connect to AD
database ldap
Скорее всего (если это Debian или Ubuntu) нужно будет ещё подгрузить модуль:
moduleload back_ldap.la

Вопрос: зачем Вам база данных hdb? Вы собираетесь часть данных хранить в openldap, а часть брать из AD? Если Вам нужен только прокси к AD, достаточно определить только базу данных ldap, как, например, здесь.

Егор

Fredo

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: slapd.conf для интеграции с AD
« Ответ #2 : 15 Май 2014, 09:03:04 »
именно нужен тока прокси к AD.
спасибо большое попробую Ваше решение, по итогам отпишусь

Fredo

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: slapd.conf для интеграции с AD
« Ответ #3 : 15 Май 2014, 09:33:50 »
Как я понял, нужно собирать Slapd с поддержкой модулей ./configure --with-tls=openssl --enable-debug=yes --enable-syslog=yes --enable-modules=yes --enable-rewrite=yes --enable-slapd=yes --enable-backends=yes --enable-overlays=yes --enable-sql=no --enable-ndb=no  правильно я понимаю? стандартный apt-get slapd не подойдет видимо?
« Последнее редактирование: 15 Май 2014, 09:36:21 от Fredo »

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: slapd.conf для интеграции с AD
« Ответ #4 : 15 Май 2014, 10:00:12 »
Здравствуйте! В стандартной debian-сборке все модули (в том числе наложения) должны быть, их нужно только подключить (moduleload). Можно и собрать руками, если Вас не устраивает версия пакета или gnu-tls. В целом, для стандартного прокси к AD вполне хватает стандартной debian-сборки.

Егор.

Fredo

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: slapd.conf для интеграции с AD
« Ответ #5 : 15 Май 2014, 10:04:48 »
У меня ругается, на то, что нет такого модуля

Fredo

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: slapd.conf для интеграции с AD
« Ответ #6 : 15 Май 2014, 10:50:21 »
C модулем разобрался, теперь он почему ругается на "idassert-bind" <arg>': SIMPLE needs "binddn" and "credentials".
Вот мой конфиг:

include          /etc/ldap/schema/core.schema
include          /etc/ldap/schema/cosine.schema
include          /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/nis.schema

allow bind_v2

pidfile         /usr/local/var/run/slapd.pid
argsfile        /usr/local/var/run/slapd.args

moduleload    back_bdb.la
moduleload    back_ldap.la

database        ldap
readonly        on
suffix          "dc=ylrus,dc=com"
rebind-as-user
uri             ldap://172.18.1.10/
chase-referrals yes
idassert-authzFrom "dn:*"
idassert-bind bindmethod=simple
binddn= "CN=svcSquidGuard CN=Users OU=MSK00 OU=Offices DC=ylrus DC=com"
credentials=  "Passw0rd"
mode =none

Fredo

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: slapd.conf для интеграции с AD
« Ответ #7 : 15 Май 2014, 11:33:00 »
Разобрался , что надо вот так написать bindmethod=simple binddn= "CN=svcSquidGuard CN=Users OU=MSK00 OU=Offices DC=ylrus DC=com"

Slapd стартанул, но все равно так же ошибка, при выводе команды ldapsearch -x dc=ylrus,dc=com  LdapERR: DSID-0C0906E8, in order a successful bind must be completed, я так понимаю, что slapd не подсоединился к AD верно? не могли бы подсказать, как его заставить все таки сконектиться с AD?
« Последнее редактирование: 15 Май 2014, 12:12:19 от Fredo »

Fredo

  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: slapd.conf для интеграции с AD
« Ответ #8 : 15 Май 2014, 14:06:21 »
Все большое спасибо. Полностью разобрался. Когда все переставлял забыл подправить фаил ldap.conf, выставил там dc=ylrus,dc=com и запросы пошли.

Большое спасибо Вам за помощь и за ресурс.