Книга "OpenLDAP и Ubuntu на практике"

[ssn]

Егор, дико извиняюсь. Чёрт бы побрал этот ЛДАП! И мою невнимательность тоже. Не увидел во что превратился в итоге мой пост. Охо-хох-ох, грехии мои тяжкие... Естественно ldif такой:

Код: [Выделить]

dn: olcOverlay={0}smbk5pwd,olcDatabase={2}bdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSmbK5PwdConfig
olcOverlay: {0}smbk5pwd
olcSmbK5PwdEnable: krb5
olcSmbK5PwdEnable: samba
olcSmbK5PwdMustChange: 2592000Насчёт admin... а я даже и не понимаю как по другому-то? Руководства для ракетчиков я пока читаю по диагонали, а вот в этой конкретной книге-переводе блога конфигурация меняется именно так. Я так и делаю.

[egor]

Специально собрал схему на Ubuntu 16.04, OpenLDAP-2.4.42, slapd-smbk5pwd-2.4.42.

К коробочной конфигурации с olcDatabase={1}mdb,cn=config и olcModulePath: /usr/lib/ldap добавил набор схемы samba.ldif, затем применяю такой LDIF:

Код: [Выделить]

dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: smbk5pwd.la

dn: olcOverlay={0}smbk5pwd,olcDatabase={1}mdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSmbK5PwdConfig
olcOverlay: {0}smbk5pwd
olcSmbK5PwdEnable: samba
olcSmbK5PwdMustChange: 2592000


Код: [Выделить]

# ldapmodify -Y EXTERNAL -H ldapi:// -f ./smbk5pwd-init.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=module{0},cn=config"

adding new entry "olcOverlay={0}smbk5pwd,olcDatabase={1}mdb,cn=config"

Всё применяется штатно:

Код: [Выделить]

# ldapsearch -LLL -Y EXTERNAL -H ldapi:// -b 'olcOverlay={0}smbk5pwd,olcDatabase={1}mdb,cn=config'
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: olcOverlay={0}smbk5pwd,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSmbK5PwdConfig
olcOverlay: {0}smbk5pwd
olcSmbK5PwdEnable: samba
olcSmbK5PwdMustChange: 2592000

Пароли, кстати, тоже меняются, я проверил (и LDAP, и samba):

Код: [Выделить]

ldappasswd -H ldapi:// -x -D cn=admin,dc=nodomain -w test -s newpass uid=ivanov,dc=nodomain
Проверьте, есть ли у вас вообще модуль smbk5pwd.la, в Ubuntu он лежит в /usr/lib/ldap/.

[ssn]

Всё есть. И .la и .so. В Centos 6.6 они лежат в /usr/lib64/openldap:

Код: [Выделить]

rpm -ql openldap-servers | grep smb
/usr/lib64/openldap/smbk5pwd-2.4.so.2
/usr/lib64/openldap/smbk5pwd-2.4.so.2.10.2
/usr/lib64/openldap/smbk5pwd.la
/usr/lib64/openldap/README.smbk5pwdсхемы брал из входящих в состав дистрибутива Centos samba и Kerberos. Пробовал и схему самбы с вашего сайта, результат тот же. попробую развернуть на убунте ради интереса и попробовать там.
Я ненавижу ЛДАП и всё с ним связанное
Кстати, в редми модуля редхат чётко написала:
We do not provide Heimdal Kerberos but MIT. Therefore the module is compiled only with Samba features in Fedora and RHEL
Тобишь как я понимаю модуль скомпилили с самбой RHEL. Т.о. и в Centos должно работать же.

[egor]

У меня всё вышло с первого раза без проблем. Чтобы не перечислять всё конфиги, я сжал ту рабочую директорию, в которой проводил эксперименты (см. вложение). Может быть это поможет.

[ssn]

Спасибо, сейчас попробую прикрутить её на centos. Ubuntu позже попинаю.

[ssn]

Извиняюсь за отнимаемое время...
Решил посмотреть как из коробки будет, мало ли я по пути книжки чего напутал.
Установил, добавил схему самбы из дистрибутива, запустил ваш лдиф с добавлением модуля и наложения.
ошибка (34) - плохой dn.
снёс, установил, вашу схему самбы уже добавил (ред хат схему самбы автоматом не ставит), тоже самое...
Надо наверно искать форум сентоводов-красношляпников, мож они чего подскажут
Ну а щас попробую убрать модуль из вашей конфигурации и опять добавить.

[ssn]

Короч, не знаю шо я там сделал, но таки запустил это наложение! Работает или нет не успел проверить, да и сил ужо не осталось. Не понимаю, чего не так делал, буду разбираться, т.к. 4 дня убито впустую. Просто не понимаю!

[ssn]

Может будет кому-то интересно...
В итоге оказалось, что на моей конфигурации не отрабатывалась olcSmbK5PwdEnable: krb5.
А ldif брал из /usr/share/doc/openldap-servers-2.4.-39/README.smbk5pwd


olcSmbK5PwdEnable: samba
так работает.
включаю оба:
olcSmbK5PwdEnable: krb5
olcSmbK5PwdEnable: samba
забастовка.
охо-хо.

[sfmc]

Добрый день!
У меня вопрос по главе книги "10.2.1 Полная потеря сервера"

Там написано 

Где работаем: ldap-srv

Если сервер который крутит OpenLDAP сломается, то первым делом нам нужно будет найти другой или починить этот. Затем потребуется установить на него Ubuntu 14.04. Потом скопируйте на него файлы из резервной копии и выполните следующие команды:

#  apt-get install -y slapd ldap-utils krb5-kdc-ldap krb5-pkinit krb5-admin-server libnss-ldapd libpam-ldapd wamerican sudo-ldap
#  mv /etc/ldap /etc/ldap.install
#  cd / && tar zxvf /tmp/slapd.directory.20141215.tar.gz
#  update-rc.d slapd defaults
#  service slapd start
Это поможет Вам начать работать. Конечно, затем нужно будет перенастроить rsyslog. Смотрите раздел 2.3.

Мне кажется или там действительно не хватает пункта восстановления самой базы из бекапа?
такогоже как в главе "10.2.3 Повреждение данных (или человеческий фактор)"

Код: [Выделить]

zcat /root/backup/slapd/slapd.data.20141212.ldif.gz > /tmp/slapd.data.ldif
#  slapadd -v < /tmp/slapd.data.ldif

[egor]

Здравствуйте, sfmc!
Вы правы, там действительно не хватает этапа восстановления данных каталога. Перевод англоязычного ресурса предоставил Павел Булка (в оригинале, кстати, тоже нет этого этапа), а я не удосужился прогнать на макете все примеры. Приношу свои извинения.

Поправил текст. Спасибо за внимательность и неравнодушие!

С уважением, Егор.