Sziasztok!
Ubuntu 10-es szerveren epitettem egy Openldap servert ami SASL bind-dal MS AD jelszoval tud beleptetni hozza kapcsolodo linux / unix lienseket.
Most ugyanezt szeretnem ubntu 14-en is, de az alabbi hibaba utkozok, a configokat a mukodo szerverrol masoltam.
Van valakinek otelte?
uldap1 kernel: [168201.071288] type=1400 audit(1421394482.391:29): apparmor="DENIED" operation="connect" profile ="/usr/sbin/slapd" name="/run/saslauthd/mux" pid=923 comm="slapd" requested_mask="rw" denied_mask="rw" fsuid=106 ouid=0
Jan 16 08:48:02 uldap1 slapd[908]: conn=1014 op=2 BIND dn="uid=dobocs,ou=users,dc=servers,dc=intra" method=128
Jan 16 08:48:02 uldap1 slapd[908]: SASL [conn=1014] Failure: cannot connect to saslauthd server: Permission denied
- 2093 megtekintés
Hozzászólások
"cannot connect to saslauthd server: Permission denied"
Milyen sasl-t hasznalsz? Cyrus? Futik egyaltalan?
A saslauthd-t tesztelted, authentikal-ja a felhasznalot? Valahogy igy:
/usr/sbin/testsaslauthd -u Lyuzerném -p Lyelszó
szerk: most olvasom el csak alaposan, ez azert erdekes: apparmor="DENIED". Szoval elso korben lekapcsolnam az apparmort es ugy tesztelnem le, ha mukodik, akkor az apparmorban kell matatni.
- A hozzászóláshoz be kell jelentkezni
+1
configold ujra az AppArmort.
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
Köszi,
lekaptam az appamort és rögtön jó lett.
Az volt a fura, hogy korábbi linux verziónál apparmor rajta volt, mégis ment.
- A hozzászóláshoz be kell jelentkezni
Nem le kell venni, hanem be kell konfiguralni:)
- A hozzászóláshoz be kell jelentkezni
Scriptbol kellene usernek a userpassword mezojebe cleartext modban irnom.
Tudja e valaki, hogyan kell megoldani?
Nem igazi jelszo csak egy SASL bind pl.: {SASL}user@valami.intra
- A hozzászóláshoz be kell jelentkezni
perl, python vagy shell scriptben? :)
A legutóbbihoz a legegyszerűbb, ha generálsz egy ldif-et:
dn: cn=xxx,dc=yyy,dc=zzz
changetype: modify
replace: userPassword
userPassword: {SASL}user@valami.intra
és keresztülzavarod az ldapmodify-on.
Egyéb nyelvekben van ldap lib, azzal szépen lehet az ldap objektumokat piszkálni. Ha meg szeretnél egy nagyon jó toolt használni, akkor ansible + https://github.com/psagers/ansible/blob/devel/library/database/ldap_attr
- A hozzászóláshoz be kell jelentkezni
sudo echo "dn: uid=$username,ou=users,dc=valami,dc=intra
changetype: modify
replace: userPassword
userPassword: {SASL}${username}${domain}" | \
ldapmodify -x -h uldap1 -D "cn=admin,dc=valami,dc=intra" -w titkos;
ez parancssorban megy de scriptben nem, persze a valtozokat csereltem.
ez a masik meg csak kodolva rakja be, nem hajlando cleartextben
sudo ldapmodify -x -h uldap1 -D "cn=admin,dc=valami,dc=intra" -w titkkos <
dn: uid=bela7, ou=users, dc=valami, dc=intra
changetype: modify
replace: userPassword
userPassword: {SASL}bela7@valami.intra
Egyebkent perlben csinalom.
- A hozzászóláshoz be kell jelentkezni
ez parancssorban megy de scriptben nem, persze a valtozokat csereltem.
Akkor szar a szkripted...
A másik meg nem az ldappasswd akart lenni? Mert az exoppal módosít, nem modify művelettel.
- A hozzászóláshoz be kell jelentkezni
Ez érdekelne elkérhető a konfig?
Az OpenLDAP -ban replikálódiknak a userek?
Gabi
- A hozzászóláshoz be kell jelentkezni