Sziasztok!
Olyan gondom van, hogy a Debian levelezőszerverem, ami ldap-vel egy win2003 serverről azonosítja a júzereket, valami oknál fogva nem szinkronizálja a felhasználókat/jelszavakat egy ideje. Új usert létrehozva a win serveren, azzal nem tudok belépni a levelezőszerverre, a régi userek működnek, de ha megváltoztatom a jelszavukat, akkor is csak a régi jelszóval tudok belépni a mailserverre, ezért gondolom hogy a jelszószinkronizálás megszakadt.
Arra tippelek, hogy talán azóta nem jó, hogy felraktam a win2003 serverre az sp2-t ősszel, de se a win, se a debian logjai nem túl bőbeszédűek, csak ennyit találtam az auth.log-ban:
authdaemond.ldap: (pam_unix) check pass; user unknown
authdaemond.ldap: (pam_unix) authentication failure; logname= uid=0 euid=0
tty= ruser= rhost=
Ez akkor jelenik meg a logban ha új felhasználóval akarok belépni a levelezőprogramba (squirrelmail)
- 766 megtekintés
Hozzászólások
A megoldást nem tudom, de az érdekelne, hogy a win2003-ból hogyan csinálod az auth-ot... (függetlenül attól, hogy jelenleg nem működik Nálad)
- A hozzászóláshoz be kell jelentkezni
miért nem csak proxy-zod az AD felé az ldap-pal a kérést? Úgy nem kell szinkronizálni. Egyszerűen onnan jönnek az adatok és kész.
- A hozzászóláshoz be kell jelentkezni
Ez a proxy-zás érdekelne, hogy működik? Tudsz hozzá leírást?
Mik:
Ez jó kérdés, ugyanis "örököltem" ezt a felállást, mindenesetre a win2003-ra fel kell telepíteni a UNIX services for NT csomagot az MS-től, debianon meg kell egy ldap pam modul, de hogy ez hogy van beállítva, azt én se értem, akárhány leírást találtam hozzá, egyik se stimmelt, pedig működött úgy ahogy be van állítva.
- A hozzászóláshoz be kell jelentkezni
> debianon meg kell egy ldap pam modul
meg egy nss_ldap (Debianul nem tom a nevet), a proxyzashoz meg man nsswitch.conf. Es erdemes a dolgot a fejlesztoknel olvasgatni: www.padl.com (Konnyu oket megjegyezni, olvasd visszafele a domain nevet.)
- A hozzászóláshoz be kell jelentkezni
tudom hogy hülyén hangzik, de mivel elég hosszadalmas lenne leírni inkább keress rá az "ldap proxy meta directory" címszavakra a google-ben.
Alényeg, hogy csinálsz egy meta directory-t, amibe fel tudod mappolni egy másik címtár elemeit.
man slapd-meta...meg valahol az /usr/share/doc/slapd-ben is vannak példák
ezért itt egy link:
http://engstromfamily.com/bookshelf/books/ldap/1565924916_ldapsa-chp-9-…
- A hozzászóláshoz be kell jelentkezni
És az új felhasználók Unix-os adatait ki is töltötted az AD-ben?
- A hozzászóláshoz be kell jelentkezni
Zahy: igen, van nss is, azt kifelejtettem, és köszi a linket!
Zsugabubus: persze, a unix-os adatok ki vannak töltve, a felhasználók létrehozása scriptből megy mint eddig.
- A hozzászóláshoz be kell jelentkezni
Megvan a megoldás, egy hotfix kellett a win2003-hoz:
http://www.microsoft.com/Downloads/details.aspx?displaylang=hu&FamilyID…
- A hozzászóláshoz be kell jelentkezni