Автор Тема: Книга "OpenLDAP и Ubuntu на практике"  (Прочитано 88762 раз)

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
В этой теме Вы можете оставлять свои замечания, предложения и комментарии о книге "OpenLDAP и Ubuntu на практике".

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #1 : 09 Февраль 2016, 13:42:51 »
Доброе время суток.
глава 9. Застрял на SASL. OC правда не бубунта, а centos 6.1.
KDC и иже с ними настроены. ЛДАП-серверу принципиал и набор ключей сделан. Но вот после загрузки 9.2.2-sasl.ldif
#  ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn=config -s base | grep -i saslвыдаёт не
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Authentication method not supported (7)
additional info: SASL(-4): no mechanism available: security flags do not match required
а
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
olcSaslHost: mail.bla.bla
olcSaslRealm: BLA.BLA
olcSaslSecProps: noanonymous,noplain
т.е. сразу всё ок.
но...
root@mail openldap# ldapwhoami
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
        additional info: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Cannot determine realm for numeric host address)
Не понимаю :( Помогите, кто может.
« Последнее редактирование: 10 Февраль 2016, 00:48:19 от egor »

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #2 : 10 Февраль 2016, 00:47:08 »
Здравствуйте!
При таком подключении
#  ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn=config -s base | grep -i sasl
у Вас используется механизм EXTERNAL, о чём и говорит этот вывод:
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
olcSaslHost: mail.bla.bla
olcSaslRealm: BLA.BLA
olcSaslSecProps: noanonymous,noplain
То есть Вы подключились от системной записи root (uid=0 и gid=0).
Если Вы хотите хотите посмотреть, за кого Вас считает slapd при этом подключении, нужно указать это при вызове ldapwhoami:
#  ldapwhoami -Y EXTERNAL -H ldapi:///Поскольку Вы не указали механизм явно, SASL берёт мехаизм по умолчанию, в данном случае GSSAPI, который и выдаёт ошибку.
Что касается самой ошибки, то
An invalid name was supplied (Cannot determine realm for numeric host address)
очень похоже на проблемы с разрешением имени хоста, нужно подправить что-то в DNS.

Егор

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #3 : 10 Февраль 2016, 08:26:56 »
Спасибо за ответ, но я и хотел GSSAPI пощупать  :(  С SASL/EXTERNAL всё  жужжит (я просто упомянул первый вывод, т.к. по брошюрке у вас sasl/external ругается, а у меня на centos сразу завелось). День вчера потратил, DNS обнюхал (тоже по ошибке на него грешу), но ничего не увидел. Даже SRV-записи там прикрутил, думаю, мож kerberosy разрешить DNS смотреть нужно?

Sdoba

  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #4 : 10 Февраль 2016, 09:19:54 »
Прежде чем выполнять вот это:

root@mail openldap# ldapwhoami
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
        additional info: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Cannot determine realm for numeric host address)

... Надо выполнить два действия:
1. Связать OpenLDAP и Kerberos через параметр export KRB5_KTNAME=/etc/ldap/krb5.keytab в файле /etc/default/slapd.
(для CentOS это будет параметр KRB5_KTNAME=/etc/openldap/krb5.keytab и файл /etc/sysconfig/ldap соответственно)
2. Успешно получить билет для администратора от KDC с помощью kinit. И проверить его наличие с помощью klist.

Только после этого можно надеяться на успех.

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #5 : 10 Февраль 2016, 10:45:30 »
естественно keytab был запихнут в /etc/sysconfig/ldap. Выполнен service slapd restart был получен билет для pupkin/admin.
но...
root@mail openldap# ldapwhoami
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
        additional info: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Cannot determine realm for numeric host address)
Блин. Одно неловкое движение  и ты отец с этим ЛДАП/Церберос. До этого на другое ругалось, убивал домен керберос и заново создавал, всё зажужало. Кроме SASL/GSSAPI! А по ssh ходит, но пароль принимает LDAP (это если без тикетов).
Я так понимаю дальше будет проблема синхронизации паролей LDAP и Kerberos?
Короч надо в сторону 389DS смотреть, и думать что умные дяди за меня уже всё сделали.

Sdoba

  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #6 : 10 Февраль 2016, 11:39:24 »
ssn, а каким DNS-сервером пользуетесь?

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #7 : 10 Февраль 2016, 11:43:24 »
 bind. 9.8.2.
« Последнее редактирование: 10 Февраль 2016, 11:50:13 от ssn »

Sdoba

  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #8 : 10 Февраль 2016, 12:03:44 »
2 вопроса:
1. Корректно ли настроена обратная зона?
2. Пробовали ли выполнить kinit и ldapwhoami от имени обычного пользователя, а не root?

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #9 : 10 Февраль 2016, 12:22:15 »
Да. проблема решена. Естественно DNS.
Стенд - учебный, обратную зону наколядовал в полглаза, никому не мешала. Начал 389-й привинчивать, вот он-то на неё и забурчал.
Посмотрел и почесал в затылке - я для dns зону оттяпал 192.168.0.0/16 (ну для посмотреть когда-то давно) и для in-addr.arpa записи вёл типа
105.1 PTR mail.bla.bla
105.2 PTR adm.bla.bla
вот только, идиот, попутал изначально. Писал
1.105 PTR mail.bla.bla и т.д.
Конечно обратная запись и не находилась!
Поправил, тут и ваш вопрос подоспел. Проверил - усё работает! Ура!
Как всегда невнимательность... Но всё больше уважаю Микрософт, сделали весчь-таки! (я АД имею ввиду). Кубики - ЛДАП-Керберос-SSO - таки собирать тяжко.
Всем спасибо, пошёл думать над samba и SSO и как все эти логины/пароли синхронизировать.
« Последнее редактирование: 10 Февраль 2016, 12:24:28 от ssn »

Sdoba

  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #10 : 10 Февраль 2016, 12:44:05 »
ssn, весьма советую глянуть, что такое sssd. Я тут на днях попробовал - мне очень понравилось. Значительно упрощает наше руководство. Когда созрею - сделаю в нём новый раздел про sssd.

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #11 : 10 Февраль 2016, 12:53:18 »
я на него постоянно глазом кошусь, но увы. ОС на базе РХЕЛ 6.1, обновлять нельзя, а шапка допилила сссд только с 6.4. Я и самбу буду теребить 3.5  ;D
А сеть имеет и линукс-машины, и виндоус, никак с этой иглы не соскочим!

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #12 : 13 Февраль 2016, 08:18:17 »
Уважаемые гуру. Вопрос возник ввиду малограмотности и скудоумия.
Обязательно было поддерево для Кербероса новое заводить в ЛДАП или как описывается в http://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/авторизация_по_сети/kerberos_and_ldap можно слепить вместе пользователей и принципиалов, простым добавлением полей (ну никак от РСУБД не отойду... атрибутов) и не ломать голову над синхронизацией?

Sdoba

  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #13 : 13 Февраль 2016, 13:59:11 »
ssn, честно, не пробовал  ;D
Но я искренне верю, что проблем возникнуть не должно.

Уж простите за такой ответ.

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #14 : 13 Февраль 2016, 20:23:08 »
ну мне кажется тут с безопасностью и идеологией кербероса проблемы...
эх... Нет пока опыта эксплуатации... Ну даст бог, через пару лет свои экзерцисы отпишу :)