LDAP auth

Linux-kezdő

LDAP auth

  • 1025 megtekintés

( Tron | 2006. 08. 01., k – 21:51 )

Még csak most kezdem el az LDAP tanulását, ezért lenne néhány láma kérdésem.
Áttanulmányoztam a http://padre.web.elte.hu/ldap.html oldat. Nagyon jól használható, lényegre törő. Azonban van egy-két részlet, amire nem találtam választ.

Itt ez a részlet az említett leírásból:

dn: cn=Looser User,ou=People,dc=teteny,dc=elte,dc=hu
objectClass: posixAccount
cn: Looser User
gecos: Looser User
uid: looser
uidNumber: 1100
gidNumber: 1100
homeDirectory: /home/looser
loginShell: /bin/bash
userPassword: looser

Bejelöltem azokat a részeket, amiknek a funkciójával/mibenlétével/jelentésével nem vagyok tisztában.

A segítséget előre is thx :-)

No, egyrészt: ilyet csak a winfos AD-nál látsz, másrészt ez helyesen:

dn: uid=looser,ou=People,dc=....

cn: canonical name, ált. (ékezettel) a teljes név, nálam épp keresztnév vezetéknév formában is (Vagyis 2 cn bejegyzés van).

gecos: a finger parancs ezt írja ki (name: után).

ou: szervezeti egység, organizational unit. Ez alatt a felhasználók vannak, ui. van ou=Group is, ez alatt pedig csoportok.

( jandras1972 | 2005. 07. 12., k – 15:14 )

Hi!

Linux alatt szeretném az OpenLDAP-t beüzemelni, A magyar nyelvü leíráson végigmentem, + a migration tools segítségével átemeltem az /etc/passwd, /etc/group és az /etc/shadow állományokat.

A slapd fut.

Ezekután ha futtatom az ldapsearch-et minden esetben a következő hibaüzenetet kapom:

ldap_bind: Can't contact LDAP server (-1)

Mi az, amit még be kellene állítani, vagy mit szúrhattam el?

( jolle | 2005. 07. 12., k – 15:29 )

1. Csomagbol lett folrakva vagy le lett forditva
2. Szukseg lenne a konfiguracios fajlokra is:

slapd.conf
/etc/openldap/ldap.conf es /etc/ldap.conf (RedHat/Fedora)
/etc/ldap.conf es /etc/pam_ldap.conf (Debian)

Probaltad mar a -x -h foo.bar -p 389 -b dc=example,dc=com kapcsolokkal futtatni?

( jandras1972 | 2005. 07. 12., k – 16:48 )

ldap.conf:
[code:1:97d3dcf6c5]
BASE dc=macika, dc=com

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
HOST ldap://localhost
[/code:1:97d3dcf6c5]

slapd.conf:
[code:1:97d3dcf6c5]
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema

pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args

#######################################################################
# BDB database definitions
#######################################################################
access to * by * read

database bdb
suffix "dc=macika, dc=hu"
rootdn "cn=Manager, dc=macika, dc=hu"
rootpw secret
directory /var/openldap-data
index objectClass eq

[/code:1:97d3dcf6c5]

Ezek a konfig állományok.

ldapsearch -D "cn=Manager,dc=macika,dc=hu" -d 255 eredménye:
[code:1:97d3dcf6c5]
ldap_create
Enter LDAP Password:
ldap_pvt_sasl_getmech
ldap_search
put_filter: "(objectclass=*)"
put_filter: simple
put_simple_filter: "objectclass=*"
ldap_send_initial_request
ldap_new_connection
ldap_int_open_connection
ldap_connect_to_host: TCP localhost:389
ldap_new_socket: 4
ldap_prepare_socket: 4
ldap_connect_to_host: Trying 127.0.0.1:389
ldap_connect_timeout: fd: 4 tm: -1 async: 0
ldap_ndelay_on: 4
ldap_is_sock_ready: 4
ldap_ndelay_off: 4
ldap_open_defconn: successful
ldap_send_server_request
ber_flush: 64 bytes to sd 4
0000: 30 3e 02 01 01 63 39 04 00 0a 01 00 0a 01 00 02 0>...c9.........
0010: 01 0c 02 01 0f 01 01 00 87 0b 6f 62 6a 65 63 74 ..........object
0020: 63 6c 61 73 73 30 19 04 17 73 75 70 70 6f 72 74 class0...support
0030: 65 64 53 41 53 4c 4d 65 63 68 61 6e 69 73 6d 73 edSASLMechanisms
ldap_write: want=64, written=64
0000: 30 3e 02 01 01 63 39 04 00 0a 01 00 0a 01 00 02 0>...c9.........
0010: 01 0c 02 01 0f 01 01 00 87 0b 6f 62 6a 65 63 74 ..........object
0020: 63 6c 61 73 73 30 19 04 17 73 75 70 70 6f 72 74 class0...support
0030: 65 64 53 41 53 4c 4d 65 63 68 61 6e 69 73 6d 73 edSASLMechanisms
ldap_result msgid 1
ldap_chkResponseList for msgid=1, all=1
ldap_chkResponseList returns NULL
wait4msg (infinite timeout), msgid 1
wait4msg continue, msgid 1, all 1
** Connections:
* host: localhost port: 389 (default)
refcnt: 2 status: Connected
last used: Tue Jul 12 16:59:47 2005

** Outstanding Requests:
* msgid 1, origid 1, status InProgress
outstanding referrals 0, parent count 0
** Response Queue:
Empty
ldap_chkResponseList for msgid=1, all=1
ldap_chkResponseList returns NULL
ldap_int_select
read1msg: msgid 1, all 1
ber_get_next
ldap_read: want=8, got=0

ber_get_next failed.
ldap_perror
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
[/code:1:97d3dcf6c5]

( jandras1972 | 2005. 07. 12., k – 16:49 )

Ja majd elfelejtettem:
Igen, csomagból lett föltelepítve.

Egyébként UHU Linux 1.2 a rendszer.

( Ysolt | 2005. 07. 12., k – 17:01 )

ldap_sasl_interactive_bind_s:

A -x et kifelejtetted. Meg esetleg a base-t se artana megadni.

( jolle | 2005. 07. 12., k – 17:10 )

Most igy hirtelen az ldap.conf-odban a BASE dc=macika,dc=com, mig slapd.conf.ban a suffix dc=macika,dc=hu

A kettonek egyeznie kell, kulonben a kliens nem latja a base dn-t.

Probald ki a kliens felol:

ldapsearch -x -h localhost -p 389 -b dc=macika,dc=hu

Erre mit csinal?

Esetleg meg lehet adni, de nem kotelezo -D "cn=Manager,dc=macika,dc=hu"

Jo lenne kozben a tail -f /var/log/messages is futtatni, hogy mi kerul a
logfajlba.

( orpheus | 2005. 07. 19., k – 16:54 )

Egy rövid kérdés:

Ha van egy DNS gépem (dn.sajat-lan.hu), és egy másik, LDAP szerverem (ldap.sajat-lan.hu), akkor mit kell bejegyezni a rootdn és a suffix direktíváknál?
A cn=Manager megnevezés kötött/kötelező? Mit takar a cn?

( jandras1972 | 2005. 07. 12., k – 22:19 )

[quote:c268547788="jolle"]Most igy hirtelen az ldap.conf-odban a BASE dc=macika,dc=com, mig slapd.conf.ban a suffix dc=macika,dc=hu

Ezt időközben észrevettem én is, javítottam mégsincs semmi változás

Jo lenne kozben a tail -f /var/log/messages is futtatni, hogy mi kerul a

abszolute semmi...

ldapsearch -x -h localhost -p 389 -b dc=macika,dc=hu

Ez eredmény ugyanaz.

( dalton | 2005. 07. 19., k – 21:10 )

[quote:440f1f1277="orpheus"]Egy rövid kérdés:

Ha van egy DNS gépem (dn.sajat-lan.hu), és egy másik, LDAP szerverem (ldap.sajat-lan.hu), akkor mit kell bejegyezni a rootdn és a suffix direktíváknál?
A cn=Manager megnevezés kötött/kötelező? Mit takar a cn?

suffix: ez lesz a hely, ami alá fogod bejegyezni az osszes ldap rekordodat, pl: o=macika, c=hu, ez azt jelenti, hogy az o=macika, c=hu ala jegyzed be a rekordokat, de pl lehet c=root, ekkor a root ala kerülnek a bejegyzések, ez adja az ldap fa struktúrád tetejét
és pl kereséskor, mikor megadod a basedn-t akkor hivatkozhatsz rá
rootdn: itt adod meg a fa struktúrád fő adminisztrátorát pl: cn=Istvan o=macika, c=hu
azaz egy név és a már megadott suffix, amúgy ldapban nem sok minden kötött, suffix-nal is hasznalhatsz teljesen eltero megoldast is, pl: ahogy a sample is: dc=akarmi, dc=hu...ahogy tetszik
a dns nem kötött az ldaphoz, célszerű lehet az o=mydomain, c=hu suffix, de nem kötelező

off: fogyókúra = nah ezen a fórumon ne indítsunk fogyók.ú.r.ával kapcsolatos témát :lol:

( Panther v | 2005. 07. 19., k – 22:46 )

Tűzfalban is engedélyezett? Egyszer megszivattam magam a paranoid tűzfal beállíŧásokkal, így az ldap nem működött. Bár akkor még azt sem írta ki, hogy nem tud csatlakozni, merthogy a csomagokat dobtam.

( jolle | 2005. 07. 20., sze – 08:20 )

Hat, lehet hogy ezzel megkerulod a problemat, de forditsd le forrasbol az OpenLDAP-t az SASL tamogatas nelkul, es forditsd bele az SSL/TLS-t. Ez mondjuk lehet, hogy marhasag, mert miert szednek ki az SASL tamogatast a szerverbol, viszont jo, ha van SSL/TLS is. Igazabol szerintem csak a klienst kellene ujraforditani a --disable-slapd (?) segitsegevel valami kulon konyvtarba, aztan meg kellene probalni ujbol. Szerintem igy menni fog a dolog. Mas kerdes, hogy biztonsagi szempontbol ez mennyire jo vagy rossz, kell-e neked SASL, meg ilyesmi.

( susu | 2005. 07. 14., cs – 16:17 )

Nálam:

/etc/openldap/ldap.conf

HOST 127.0.0.1
BASE dc=macika,dc=hu
URI ldap://macika.hu