Автор Тема: Книга "OpenLDAP и Ubuntu на практике"  (Прочитано 88759 раз)

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #30 : 13 Июль 2017, 14:06:40 »
Егор, дико извиняюсь. Чёрт бы побрал этот ЛДАП! И мою невнимательность тоже. Не увидел во что превратился в итоге мой пост. Охо-хох-ох, грехии мои тяжкие... Естественно ldif такой:
dn: olcOverlay={0}smbk5pwd,olcDatabase={2}bdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSmbK5PwdConfig
olcOverlay: {0}smbk5pwd
olcSmbK5PwdEnable: krb5
olcSmbK5PwdEnable: samba
olcSmbK5PwdMustChange: 2592000
Насчёт admin... а я даже и не понимаю как по другому-то? Руководства для ракетчиков я пока читаю по диагонали, а вот в этой конкретной книге-переводе блога конфигурация меняется именно так. Я так и делаю.
« Последнее редактирование: 13 Июль 2017, 14:10:17 от ssn »

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #31 : 14 Июль 2017, 02:59:04 »
Специально собрал схему на Ubuntu 16.04, OpenLDAP-2.4.42, slapd-smbk5pwd-2.4.42.

К коробочной конфигурации с olcDatabase={1}mdb,cn=config и olcModulePath: /usr/lib/ldap добавил набор схемы samba.ldif, затем применяю такой LDIF:
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: smbk5pwd.la

dn: olcOverlay={0}smbk5pwd,olcDatabase={1}mdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSmbK5PwdConfig
olcOverlay: {0}smbk5pwd
olcSmbK5PwdEnable: samba
olcSmbK5PwdMustChange: 2592000

# ldapmodify -Y EXTERNAL -H ldapi:// -f ./smbk5pwd-init.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=module{0},cn=config"

adding new entry "olcOverlay={0}smbk5pwd,olcDatabase={1}mdb,cn=config"

Всё применяется штатно:
# ldapsearch -LLL -Y EXTERNAL -H ldapi:// -b 'olcOverlay={0}smbk5pwd,olcDatabase={1}mdb,cn=config'
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: olcOverlay={0}smbk5pwd,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSmbK5PwdConfig
olcOverlay: {0}smbk5pwd
olcSmbK5PwdEnable: samba
olcSmbK5PwdMustChange: 2592000

Пароли, кстати, тоже меняются, я проверил (и LDAP, и samba):
ldappasswd -H ldapi:// -x -D cn=admin,dc=nodomain -w test -s newpass uid=ivanov,dc=nodomain
Проверьте, есть ли у вас вообще модуль smbk5pwd.la, в Ubuntu он лежит в /usr/lib/ldap/.

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #32 : 14 Июль 2017, 10:16:17 »
Всё есть. И .la и .so. В Centos 6.6 они лежат в /usr/lib64/openldap:
rpm -ql openldap-servers | grep smb
/usr/lib64/openldap/smbk5pwd-2.4.so.2
/usr/lib64/openldap/smbk5pwd-2.4.so.2.10.2
/usr/lib64/openldap/smbk5pwd.la
/usr/lib64/openldap/README.smbk5pwd
схемы брал из входящих в состав дистрибутива Centos samba и Kerberos. Пробовал и схему самбы с вашего сайта, результат тот же. попробую развернуть на убунте ради интереса и попробовать там.
Я ненавижу ЛДАП и всё с ним связанное :)
Кстати, в редми модуля редхат чётко написала:
We do not provide Heimdal Kerberos but MIT. Therefore the module is compiled only with Samba features in Fedora and RHEL
Тобишь как я понимаю модуль скомпилили с самбой RHEL. Т.о. и в Centos должно работать же.
« Последнее редактирование: 14 Июль 2017, 10:24:52 от ssn »

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #33 : 14 Июль 2017, 10:32:10 »
У меня всё вышло с первого раза без проблем. Чтобы не перечислять всё конфиги, я сжал ту рабочую директорию, в которой проводил эксперименты (см. вложение). Может быть это поможет.

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #34 : 14 Июль 2017, 11:03:35 »
Спасибо, сейчас попробую прикрутить её на centos. Ubuntu позже попинаю.

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #35 : 14 Июль 2017, 11:41:09 »
Извиняюсь за отнимаемое время...
Решил посмотреть как из коробки будет, мало ли я по пути книжки чего напутал.
Установил, добавил схему самбы из дистрибутива, запустил ваш лдиф с добавлением модуля и наложения.
ошибка (34) - плохой dn.
снёс, установил, вашу схему самбы уже добавил (ред хат схему самбы автоматом не ставит), тоже самое...
Надо наверно искать форум сентоводов-красношляпников, мож они чего подскажут :(
Ну а щас попробую убрать модуль из вашей конфигурации и опять добавить.
« Последнее редактирование: 14 Июль 2017, 11:50:18 от ssn »

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #36 : 14 Июль 2017, 21:27:50 »
Короч, не знаю шо я там сделал, но таки запустил это наложение! Работает или нет не успел проверить, да и сил ужо не осталось. Не понимаю, чего не так делал, буду разбираться, т.к. 4 дня убито впустую. Просто не понимаю!

ssn

  • Новичок
  • *
  • Сообщений: 21
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #37 : 13 Сентябрь 2017, 09:00:29 »
Может будет кому-то интересно...
В итоге оказалось, что на моей конфигурации не отрабатывалась olcSmbK5PwdEnable: krb5.
А ldif брал из /usr/share/doc/openldap-servers-2.4.-39/README.smbk5pwd
:(

olcSmbK5PwdEnable: samba
так работает.
включаю оба:
olcSmbK5PwdEnable: krb5
olcSmbK5PwdEnable: samba
забастовка.
охо-хо.

sfmc

  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #38 : 15 Июнь 2020, 19:36:03 »
Добрый день!
У меня вопрос по главе книги "10.2.1 Полная потеря сервера"

Там написано 

Цитировать
Где работаем: ldap-srv

Если сервер который крутит OpenLDAP сломается, то первым делом нам нужно будет найти другой или починить этот. Затем потребуется установить на него Ubuntu 14.04. Потом скопируйте на него файлы из резервной копии и выполните следующие команды:

#  apt-get install -y slapd ldap-utils krb5-kdc-ldap krb5-pkinit krb5-admin-server libnss-ldapd libpam-ldapd wamerican sudo-ldap
#  mv /etc/ldap /etc/ldap.install
#  cd / && tar zxvf /tmp/slapd.directory.20141215.tar.gz
#  update-rc.d slapd defaults
#  service slapd start
Это поможет Вам начать работать. Конечно, затем нужно будет перенастроить rsyslog. Смотрите раздел 2.3.


Мне кажется или там действительно не хватает пункта восстановления самой базы из бекапа?
такогоже как в главе "10.2.3 Повреждение данных (или человеческий фактор)"

zcat /root/backup/slapd/slapd.data.20141212.ldif.gz > /tmp/slapd.data.ldif
#  slapadd -v < /tmp/slapd.data.ldif

egor

  • Администратор
  • Старожил
  • *****
  • Сообщений: 486
    • Просмотр профиля
Re: Книга "OpenLDAP и Ubuntu на практике"
« Ответ #39 : 17 Июнь 2020, 13:00:58 »
Здравствуйте, sfmc!
Вы правы, там действительно не хватает этапа восстановления данных каталога. Перевод англоязычного ресурса предоставил Павел Булка (в оригинале, кстати, тоже нет этого этапа), а я не удосужился прогнать на макете все примеры. Приношу свои извинения.

Поправил текст. Спасибо за внимательность и неравнодушие!

С уважением, Егор.
« Последнее редактирование: 20 Июнь 2020, 09:56:58 от egor »