Sziasztok!
LDAP + Samba paroshoz, mint hitelesito rendszert a kerberost hasznalnam. A gondom az hogy nem tud konnektalni a KDC vel. Valoszinua config hibas, de mint lehetseges ok az is lehetseges hogy mivel kulso tuzfal fogja a 88 es 749 es portokat illetve ha jol tudom a 636 port is szukseges az LDAP hoz illetve a kerberos hitelesiteshez, talan ez is okozhatja a problemat. (Lehet e csak a belso halozatra beallitani a hitelesitest?)
mmcntr:/# kinit -t 5
kinit(v5): Cannot contact any KDC for requested realm while getting initial credentials
mmcntr:/#
mmcntr:/# kinit -v
kinit(v5): No credentials cache found while validating credentials
mmcntr:/#
Itt van meg a conf:
mmcntr:/# cat /etc/krb5.conf
[libdefaults]
default_realm = XXXX.XXXX.XX
default_tkt_enctypes = des-cbc-md5
default_tgs_enctypes = des-cbc-md5
dns_lookup_realm = true
dns_lookup_kdc = true
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
# default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
XXXX.XXXX.XX = {
kdc = mmcntr
admin_server = mmcntr
default_domain = xxxx.xxxx.xx
}
[domain_realm]
.xxxx.xx = xxxxx.xxxx.xx
xxxx.xx = xxxx.xxxx.xx
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = true
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
[logging]
default = FILE:/var/log/krb5def.log
kinit = FILE:/var/log/krb5ini.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/krb5adm.log
[login]
krb4_convert = true
krb4_get_tickets = false
mmcntr:/#
Felraktam a krb5-user, krb5-admin-server, krb5-config csomagokat is. Meg mit kellene feltennem illetve mi lehet meg a gond?
A valaszokat elore is koszonom.
- 3373 megtekintés
Hozzászólások
Na varj, ennyire bonyi konfig nem kell am ennek, a krb4 opciokat nyugodtan dobd ki, ez lehet oka a nem mukodo dolognak.
Aztan, kellene tudni, hogy logokba/syslogba mit latsz
A szervereket FQDN-nel vagy IP-vel KELL megadni, mert a kdc nem fog talalgatni, hogy most mi a domain (nem kell a DNS domainnek akar a default domainnel, akar a hozzarendelt DNS domainnnel egyeznie).
Az LDAP-hoz nem a 636 hanem a 389 port kell, a 636 az a LDAPS (LDAP over SSL), de azzal ezen a ponton szerintem meg ne szopjal.
A kdc-nek kulon konfigja van, kdc.conf - itt kell beloni a kdc opcioit, stash, adatbazis, satobbi. Ha erdekel, hazamegyek es feltolok egy mukodo konfigot.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Azt nagyon megkoszonnem.:)
Akkor ne hasznaljak slapdot?:) hm akkor a slapd.conf sem kell? Kicsit osszezavrodtam:) Az a baj hogy a kdc nek ha jol olvastam a readme t kell a 88 es 749 port. A 636 valoban az LDAP ssl portja. Holnap feltoltom akkor meg a syslogot is, azaz azt a reszet amit ir hibanak. Elore is koszi.
___________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Allj-allj! En nem mondtam, hogy slapd-t ne hasznalj, hanem azt, hogy LDAPS-ot ne hasznalj! A cucc mindjart megy fel valahova.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Oke ertem, bocsanat. Es koszi.
_______________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Kitudnád fejteni, hogy a kerberossal való hitelesít mennyiben más, mint a Samba+Ldap páros? És a Samba+Ldap+Krb PDC rendszerként van használva Windows kliensekkel?
- A hozzászóláshoz be kell jelentkezni
Persze, az alma meg a citrom egy csomo mindenben kulonboznek egymastol. A Kerberossal valo hitelesites nem lecsereloje, hanem kiegeszitoje lehet a Samba+LDAP parosnak. A PDC rendszerkent valo hasznalat pedig elvben nem lehetetlenseg, de nekem ezt meg nem sikerult teljes egeszeben osszehozni.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Mar 18 09:55:01 mmcntr /USR/SBIN/CRON[7333]: (root) CMD ([ -x /usr/lib/sysstat/sa1 ] &)
Mar 18 10:05:01 mmcntr CRON[7383]: (pam_krb5): none: pam_sm_acct_mgmt: entry (0x8000)
Mar 18 10:05:01 mmcntr CRON[7383]: (pam_krb5): none: skipping non-Kerberos login
Mar 18 10:05:01 mmcntr CRON[7383]: (pam_krb5): none: pam_sm_acct_mgmt: exit (success)
Mar 18 10:05:01 mmcntr CRON[7383]: (pam_krb5): none: pam_sm_setcred: entry (0x2)
Mar 18 10:05:01 mmcntr CRON[7383]: (pam_krb5): none: no context found, creating one
Mar 18 10:05:01 mmcntr CRON[7383]: (pam_krb5): none: ignoring low-UID user (0 < 1000)
Mar 18 10:05:01 mmcntr CRON[7383]: (pam_krb5): none: pam_sm_setcred: exit (success)
Mar 18 10:05:01 mmcntr /USR/SBIN/CRON[7384]: (root) CMD ([ -x /usr/lib/sysstat/sa1 ] &)
mmcntr:~#
Ez lenne a syslog egy reszlete.
_____________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
A logra: Ez egy cron-os root login volt, messze nincs koze ahhoz, amirol itt mi beszelunk.
A konfigok: Ne haragudj, tegnap este kozbejott egy kis problema a kerdeses geppel, ma este feltolom valahova.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Oke elore is koszonom. Nem haragszom sot tenyleg koszi hogy segitesz.:) (A syslogba egyfolytaban ezeket irja, akkor azzal is valamit tennem kell majd. )
mmcntr:~# cat /etc/samba/smb.conf
# Global parameters
[global]
;workgroup = XXXX
;netbios name = MMCNTR
server string = xxxx.xxxx.xx
local master = Yes
os level = 40
smb ports = 389
security = user
interfaces = eth0 *lo
username map = /etc/samba/smbusers
encrypt passwords = true
;min passwd length = 6
pam password change = yes
;obey pam restrictions = No
;ldap passwd sync = Yes
unix password sync = Yes
passwd program = /usr/sbin/smbldap-passwd -u %u
ldap passwd sync = Yes
passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n"
passwd chat debug = Yes
log level = 256
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
time server = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
mangling method = hash2
Dos charset = CP852
Unix charset = UTF8
;logon script = logon.bat
logon drive = H:
logon home =\\%L\%U
logon path = \\%L\profile\U%
domain logons = Yes
domain master = Yes
os level = 65
preferred master = Yes
wins support = yes
passdb backend = ldapsam:ldap://127.0.0.1
ldap admin dn = cn=admin,dc=xxxx,dc=xx
;ldap admin dn = cn=admin,ou=Groups,dc=xxxx,dc=xx
ldap suffix = dc=xxxx,dc=xx
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
add user script = /usr/sbin/smbldap-useradd -m "%u"
;ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -t 0 -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
#be a PCD
domain logons = yes
#allow user privileges
enable privileges = yes
[netlogon]
path = /samba/netlogon
browseable = No
read only = yes
[profiles]
path = /samba/profiles
read only = no
create mask = 0700
directory mask = 0700
browseable = No
guest ok = Yes
profile acls = yes
csc policy = disable
; next line is a great way to secure the profiles
force user = %U
force group = %G
;next line allows administrator to access all profiles
valid users = %U @infg @infgo
[Film]
comment = Film konyvtar
browseable = yes
writable = yes
create mask = 0775
directory mask = 0775
path = /~wshare/Film
guest ok = no
read only = no
valid users = @infg @infgo
read list = @infgo
write list = @infg
force group = infg
[Zene]
comment = Zene konyvtar
browseable = yes
writable = yes
create mask = 0775
directory mask = 0775
path = /~wshare/Zene
guest ok = no
read only = no
valid users = @infg @infgo
read list = @infgo
write list = @infg
force group = infg
[csomagok]
comment = debian csomagok konyvtar
browseable = yes
writable = yes
create mask = 0775
directory mask = 0775
path = /~wshare/csomagok
guest ok = no
read only = no
valid users = @infg @infgo
read list = @infgo
write list = @infg
force group = infg
mmcntr:~#
mmcntr:~# cat /etc/kdc.conf
[kdcdefaults]
kdc_ports = 750,88
[realms]
XXXX.XX = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
kdc_ports = 750,88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauth
}
mmcntr:~#
akkor gondolom eza config sem jo.:)
8390 ? Ssl 0:00 /usr/sbin/slapd -h ldap://127.0.0.1:389/ ldaps:/// ldapi:/// -g openldap -u openldap
8414 ? Ss 0:00 /usr/sbin/smbd -D
8437 ? Ss 0:00 /usr/sbin/nmbd -D
8438 ? S 0:00 /usr/sbin/nmbd -D
Ha jol ertem aza gond hogy fut az ldaps is. A samba meg elvielg fut de kozben leall, es amikor restarolnam latom hogy az smdb nem fut csak az nmbd.
mmcntr:~# /etc/init.d/samba restart
Stopping Samba daemons: nmbd smbdstart-stop-daemon: warning: failed to kill 3013: No such process
.
Starting Samba daemons: nmbd smbd.
______________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Valami hulyeseget irtam, hogy nem valaszoltal?:)Remelem nem. Most mar sikerult teljesen atirnom a configokat, ugy hogy az ldap el sem indul:S
____________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Kerlek szepen, hogy ne haragudj ram, sajnos nagyon el voltam az utobbi idoben havazva, plusz meg betegeskedem is.
Na, osszedobtam egy konfigot, mert az en szerveremen egy icipicit borzaszto allapotban vannak most a dolgok, laccik hogy nincs rendesen idom osszehangolni oket (az LDAP pillanatnyilag nalam is hogyugymondjam furan mukodik, es meg nem tudom, mi a nyavalyaja).
Itt van egy katranylabda, amiben az osszes szukseges konfig benne van, ez egy teszt rendszer teljes erteku konfigja. Ami hihhetetlen fontos: ez a rendszer arra epit, hogy a DNS-ben konfigolva van a KDC es a kadmin szerver eleresi pontja. Amennyiben ez nem igaz, ugy a krb5.conf [ realms ] (szokozok nelkul) szekciojat igy kell modositani:
EGYPT.LOCAL = {
kdc = kdc.egypt.local:88
admin_server = kadmin.egypt.local:749
}
es a dns_lookup kezdetu dolgokat ki kell kommentezni.
Az LDAP-ban az userPassword -ot ilyenre kell csinalni: 'userPassword: {KERBEROS}hron@EGYPT.LOCAL'
A PAM konfigok mar ehhez vannak igazitva.
A sambaba valo bekotesben tul sokat nem tudok neked segiteni, addig meg en sem jutottam el.
Arra figyelj, hogy ne 1:1 hasznald a konfigokat, hiszen ez a rendszer teljes mertekben egy egypt.local cimmel rendelkezo domain Kerberos es LDAP rendszere, ami termeszetesen neked nem lesz jo.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Oke koszi szepen, most nezem, eppen ujra huztam az egeszet mert mar a csomag felrakas sem mukodott. Most a nullarol kezdtem de mar az ldap es samba confignal tartok.:) Jobbulast neked! Es remelem most mar jol fog mukodni. Ha lesz kerdesem majd irok, es koszi megegyszer a segitseget.:)
Jah meg egy kerdes hirtelen ami eszembe jutott, ennyi readme olvasasa utan. Ez amit olvastam akkor bemasolom ide:
"A gidNumber értékeket úgy kell megválasztani, hogy ilyen értékkel lokális csoport ne létezzen a /etc/group fileban!
Az uidNumber értéket úgy kell megválasztani, hogy ilyen értékkel lokális felhasználó ne létezzen a /etc/passwd fileban!
A userPassword-ok közötti különbség: az második titkosítottan van tárolva. {crypt}"
Mert ha migraloma csoport azonositot is athozza... Vagy ugy kell hogy egy fajlt csinalok amibe group fajl tartalmat lementem es a csoport azonositonak egyedit hozok letre? sorry ha butaa kerdes:$
_________________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Itt van egy Perl alapu rendszer, ami a userek hozzaadasat megfeleloen elkezeli (elmeletben).
Ha sajat cuccban gondolkodol, akkor pedig nem kell letarolni, ugyanis egy 'getent group' vagy egy 'getent passwd' hivas lehivja a posix es ldap usereidet is, ezutan cut meg sort, vagy valami awk script meg tudja mondani a frankot. Mindenkepp nezd meg az en scriptemet is, ugyanis en kezelek egy specko esetet: alapvetoen a nobody usernek lehetseges, hogy >64000 a uid-ja, ez esetben az uj userek id-ja csak e folott kezdodhetne, de mivel az alatta levo tartomany ures, ez kezelve van.
Illetve a cucc szabadon modosithato, ahogy szeretned. a newuser.conf tartalmazza a konfig opciokat a rendszernek, ennek mindenkepp 0600 joga legyen, mert itt van a rootdn jelszava is...
A userpassword erteket nem feltetlen {crypt}-kent kell tarolni, ugyanis ugyis az LDAP szerver authol. A migracio soran persze {crypt} kodolasu jelszavak lesznek, ugyanakkor a scriptben a slappasswd parameteret okszeruen modositva elerheto a SHA, MD5, meg mittomen meg milyen titkositasok, amiket az LDAP szerver csak ismer. Plusz, az osszes SASL josag hasznalhato.
Arra figyelj, hogy a jelenlegi script nem kezel kerberos-t, igy okszeruen modositani kell ahhoz, hogy a userPassword erteke itt ne egy eltitkolt jelszo, hanem a {KERBEROS}csillagocska@EGYPT.LOCAL tipusu jelszo legyen. Ez minimalis perl ismerettel megvalosithato, de ha gondolod, elkeszitem a script ilytenkepp modositott valtozatat is.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Sorry nemreg ertem haza,reggel kiprobalom az lesz az elso:) Koszi elore is, jah perl t most tanulgatom...:) De megprobalom magam megodlani eloszor, de ha nagyon nem menne akkor kerdezek es talan siekrul veggree. Akkor a sambat utolag tudom majd megodlani hoyg az ldappal egyutt mukodjon? vegulis azt nem lehet hogy az LDAP a SAMBA jelszavait használja?:) Persze gondloam configot ehhez kell majd beloni. Jah a krb5.keytab ot hianyolja a slapd ...:$
______________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Arra van tipp az elozo konfigban, nezd meg a default mappat (de ez csak debian/ubuntu alatt mukodik, ha mas disztrorol beszelunk, akkor jo lenne tisztazni).
A LDAP nem csinal semmit, csak a hozza fordulo kerdesekre valaszol. Itt a konkret kerdes az, hogy mit szeretnel, ki honnet authentikaljon. Ha mindneki samban at megy, akkor nem tudom, hogy megy a kerberos auth, nekem a samba sehogy sem akar kerberos ticketet kerni es adni, csak jelszoval megy. Esetleg vegig lehet hajtani a klienseken a winbind, ldap es kerberos authokat okszeruen modositott pam.d konfigokkal - linux/bsd/solarison. Windowson sajnos nem megy a dolog, az nem fog force ticketet kerni a kerberos kdc-tol.
Ha csak a fajlszerver miatt kell, es mindenki mas ldap/krb alapon authentikal, akkor az a gond, hogy a samba nem kepes az ldap-tol rendes authot kerni, mindenkepp a sajat attributumait hajtja, abbol authol. Nem tudom, ez esetben hogyan tovabb...
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Hm most agyalok a probleman. Alapvetoen ez Debian etch szoval ennek elvben mukodnie kellene, de most lehet atnezem megis a sambanak nincs e onmagaban kulon csoportokra egy mappan belul kulonbozo jogosultsag kezelese. Igazabol ugy tudom a sambat ldap ot es kerberost ossze lehet hozni valahogy ... Na utana olvasok meg, hatha ....
No ugy latom lehet tul bonyolitottam eddig kisse, bar a megoldasra teljes egeszeben nem jottem meg ra. Sambaval siekrult ket kulon csoportot letrehozni, de a masik csoportnak csak olvasasi joga van, de azt nem tudom hogy oldom mega serveren csak olvashatja, de magahoz at masolhatja az adott konyvtarban levo fajlokat, illetve mappakat. Csak nem torolheti nem hozhat letre uj mappat se fajlt.
Bar az LDAP ot is valahogy hasznalni fogom, csak osszehozom ....
______________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Elvben a Samba-t lehet ugy forgatni, hogy tamogassa az acl-eket (setfacl). Nem tudom, a Debian ugy forditja-e...
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Most ajanlottak egy linket nekem azt olvasgatom esaz alapjan megoldani es athidalni ezt a problemat. De probalom az otleteket otvozni, talan kisul belole valami, most eljutottam addig a samba is fut mar rendesen felugrik az ablak is, akkor is megoldom valahogy nem letezik, hogy nincs erre is megoldas.:)
a link: http://www.linux.com/articles/40983
Nagyon koszi a sok segitseget, en is probalkozom azert.:)
______________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
O egy nagy gondom van azza ketto.:( Elso hogy az ldap keresi a slapd.keytab fajlt, es a bootolaskor is mar azt irja illegal seek. Igaz azokat allitottam csak eddig be amiket irtal. Mi leheta gond?:(
____________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
1) masold be a default/slapd fajlt a /etc/default ala.
2)
root@gep:/etc/ldap # kadmin.local
kadmin.local: ktadd -k slapd.keytab ldap/gep.mittudomain.com
Ha ilyen principalod (ldap/gep.mittudomain.com) nincs, akkor letrehozasa a kadmin.local-ban tortenik, igy:
ank -policy hosts -randkey ldap/gep.mittudomain.com
A gep.mittudomain.com helyere a geped FQDN neve kell, vagyis gepnev + domain ahogy a peldaban is van.
Az illegal seek-et ennyibol nem tudom mi irja, azt jobb lenne reszletezni, ez igy eleg sovanyka.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
mmcntr:/etc/ldap# kadmin.local
Authenticating as principal root/admin@XXXX.XX with password.
kadmin.local: No such file or directory while initializing kadmin.local interface
mmcntr:/etc/ldap#
Ez az egyik hiba:(
________________________________________________________________________________________________________-
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Oke, akkor kell:
- kdc.conf
- krb5.conf
- kadm5.acl
tartalom - pastebinre ha lehet, ne csesszuk mar szet az oldalt.
Ezen fajlok utvonalat is csempeszd be valahogy, hogy tudjam, nalad ezek hol laknak.
Ja, es egy kadmin.local inditas utan less bele a syslog-ba is, hatha van valami okos relevans uzi.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Hm van egy kis problemam, uyge adtad a configokat, a pam.d ben levo fajlokat atirtam ahogy megkaptam, de ooo utana nem mukodott a passwd nem ismerte fel a modulet :( Erre talaltam ezt a linket es ez megoldotta ezt a modules problemat, de ha pam.d ben levo fajlokat atconfigolom asszerint akkor nem mukodik a passwd, azaz nem ismeri fel a passwd modulet :(
http://ubuntuforums.org/archive/index.php/t-801333.html
Na bemasolom a configokat:
az utvonal /etc/krb5kdc/kadm5.acl
mmcntr:/etc/krb5kdc# cat kadm5.acl
*/admin@XXXX.XX *
mmcntr:/etc/krb5kdc#
mmcntr:/etc/krb5kdc# cat kadm5.dict
mmcntr:/etc/krb5kdc#
mmcntr:/etc/krb5kdc# cat kdc.conf
[kdcdefaults]
kdc_ports = 750,88
[realms]
XXXX.XX = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
kdc_ports = 750,88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauth
}
mmcntr:/etc/krb5kdc#
(se statsh se kadm5.keytab om nincs....)
mmcntr:/etc/krb5kdc# kadmin.local
Authenticating as principal root/admin@XXXX.XX with password.
kadmin.local: No such file or directory while initializing kadmin.local interface
mmcntr:/etc/krb5kdc#
Indulaskor pedig ezt irja ki:
udevd[1632] nss_ldap: can't connect contact LDAP server cn=admin,cn=xxxx,cn=xx illegal seek
es a slapd.keytab ot keresi az /etc/ldap konyvtarban
A syslogban sajnos errol semmi sincs...
Megoldottam: (legalabbis a kadmin.local t)
mmcntr:/etc# cd krb5
krb5.conf krb5.ment.conf krb5kdc/
mmcntr:/etc# cd krb5kdc/
mmcntr:/etc/krb5kdc# mkdir principal
mmcntr:/etc/krb5kdc# kdb5_util create -s -r xxxx.xx
Loading random data
Initializing database '/var/lib/krb5kdc/principal' for realm 'xxxx.xx',
master key name 'K/M@xxxx.xx'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:
mmcntr:/etc/krb5kdc# kadmin.local
Authenticating as principal root/admin@xxxx.xx with password.
kadmin.local: addpol
add_policy: parser lost count!
usage; add_policy [options] policy
options are:
[-maxlife time] [-minlife time] [-minlength length]
[-minclasses number] [-history number]
kadmin.local: addpol users
kadmin.local: addpol admin
kadmin.local: addpol hosts
kadmin.local: ank policy users xxxx.xx
usage: add_principal [options] principal
options are:
[-expire expdate] [-pwexpire pwexpdate] [-maxlife maxtixlife]
[-kvno kvno] [-policy policy] [-randkey] [-pw password]
[-maxrenewlife maxrenewlife]
[-e keysaltlist]
[{+|-}attribute]
attributes are:
allow_postdated allow_forwardable allow_tgs_req allow_renewable
allow_proxiable allow_dup_skey allow_tix requires_preauth
requires_hwauth needchange allow_svr password_changing_service
kadmin.local: ank -policy users xxxx.xx
Enter password for principal "xxxx.xx@xxxx.xx":
Re-enter password for principal "xxxx.xx@xxxx.xx":
Principal "xxxx.xx@xxxx.xx" created.
kadmin.local: addprinc -policy admin xxxx.xx/admin
Enter password for principal "xxxx.xx/admin@xxxx.xx":
Re-enter password for principal "xxxx.xx/admin@xxxx.xx":
Principal "xxxx.xx/admin@xxxx.xx" created.
kadmin.local: listprincs
K/M@xxxx.xx
kadmin/admin@xxxx.xx
kadmin/changepw@xxxx.xx
kadmin/history@xxxx.xx
kadmin/mmcntr.xxxx.xx@xxxx.xx
krbtgt/xxxx.xx@xxxx.xx
xxxx.xx/admin@xxxx.xx
xxxx.xx@xxxx.xx
kadmin.local: addprinc -randkey -policy hosts host/mmcntr.xxxx.xx
Principal "host/mmcntr.xxxx.xx@xxxx.xx" created.
kadmin.local: ktadd -k /etc/krb5.keytab host/mmcntr.xxxx.xx
Entry for principal host/mmcntr.xxxx.xx with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab.
Entry for principal host/mmcntr.xxxx.xx with kvno 3, encryption type DES cbc mode with CRC-32 added to keytab WRFILE:/etc/krb5.keytab.
kadmin.local: ktadd -k /etc/krb5kdc/kadm5.keytab kadmin/admin kadmin/changepw
Entry for principal kadmin/admin with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5kdc/kadm5.keytab.
Entry for principal kadmin/admin with kvno 3, encryption type DES cbc mode with CRC-32 added to keytab WRFILE:/etc/krb5kdc/kadm5.keytab.
Entry for principal kadmin/changepw with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5kdc/kadm5.keytab.
Entry for principal kadmin/changepw with kvno 3, encryption type DES cbc mode with CRC-32 added to keytab WRFILE:/etc/krb5kdc/kadm5.keytab.
kadmin.local: addprinc -randkey -policy hosts imap/mmcntr.xxxx.xx
Principal "imap/mmcntr.xxxx.xx@xxxx.xx" created.
kadmin.local: q
mmcntr:/etc/krb5kdc#
talaltam hozza leirast. Nem egeszen ertettem hogy mukodik :( sorry. De meg mindig nem tudom hogyan tovabb....
____________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Na, kezdjuk az elejen.
- passwd: nem fog mukodni, ezert kaptad a script-es csomagot.
- inditaskori ldap siramok: igen, tudjuk. a /etc/libnss-ldap.conf -ban at kell irni a bind_policy-t soft-ra (default hard). Ettol nem hallgat el, csak nem blokkolodik az inditas.
- A slapd jo helyen keresgeli, ha megsem talalja annak talan oka lehet az, hogy nincs joga olvasni. chown openldap:openldap /etc/ldap/*.keytab
- Reszletes leirasert nezegesd panther ldap-kerberos hogyanjat.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Ok, most ott tartok hogy kizart az egesz rendszer, magyaran belepni sem tudok. Sikerult pam et jol elconfigolnom:S Megprobaltam slax live cd rol de eddig nem sikerult addig eljussak hogy beootoljon a cd rol. Ubuntu bebootolt, de mountolasnal szinten gondja volt. Most vissza kene allitsam a pam.d ben levo fajlokat, de mivel bejelentkezni sem tudok meg root al sem hat igy nehez lesz a tovabbiakat beconfigolnom:( Igazabol tobbszor sikerult mar live cd rol bebootlva, felmountolva particot az ilyen problemakat megoldanom, de aza bajom hogy az ubuntu live cd je mire bebootl lemegy a nap, a slax et meg nem tudom hasznalni mert nem hajnaldo betolteni minden modult. Erre mi a megoldas??
_______________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Ezt mar tobbszor, es tobb helyen elmondtam, erdekes, hogy senki nem jon ra magatol
Hiaba mondod nekem azt, hogy gondja van, attol en meg okosabb nem vagyok. Okosabb mindig egy pontos hibauzenettol, egy reszletes hibaleirastol, vagy ilyen hasonlotol vagyok, a megfelelo resz alahuzando.
Sem tavgyogyasz, sem mentalista nem vagyok, hogy kitalaljam, te mit latsz epp a kepernyodon. Ne felejtsd el, hogy en csak es kizarolag annyi infobol dolgozom, amennyi itt az oldalon megjelenik, nem pedig a te agyadban levo informaciohalmokbol.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Oke, megint bocsanat. permission deined Ezt akkor irja ki amikor be akarok lepni egy felhasznalo jelszo parossal, de midegy mivel root al sem negd be, nem ferek semmihez igy hozza. (a jelszavak pedig jok, eddig mukodott, csak amiota a configot elconfigoltam azota nem!) Erre kell megoldas, mert igy semmihez nem ferek hozza. Tudom live cd rol bebootolok, es kitorlom azat pam.d alatt levo common-session ban levo rossz soraokat amik oda nem kellnek amig legalabb hozza nem ferek a rendszerhaz, nem tudok be loginolni... De probaltam mar cska nem negdi felmountolni, mivel scsi is kartya van benne ugy vannak disckek hogy cciss/c0pd01 kene felmountolnom de nem akarja, addig viszotn semmit nem tudok erdemben csinalni.
_________________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Aha, es a mountolasnal mit ir ki, miert nem akarja? Telleg harapofogo kell hozzad?
A permdenied meg keves, a link nem jott ossze, kellene a rendes hibauzi. Mi ad permdeniedet, elotte utana van-e valami furcsa, hibara utalo dolog?
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Sorry....
Akkor leirom, megprobaltam mar slax live cd vel is, arrol be sem bootolt. Most gentoo live cd t probalok hasznalni, de ezzel meg az a bajom hogy nem tudok root ra valtani, mert ker jelszot, es a leirasban sem talaltam meg mi az alap root jelszo, igy viszont ha nem root kent vagyok bejelntkezve akkor nem engedi felmountolni. A lenyeg, hoyg at kene szerekesztenem a pam.d ben levo fajl egyiket, emlekszem melyik sorral szurtam el azaz mit irtam be utoljara, lenyegeben nem a jelszvakkal vana problema hanema titkositassal, ezert nem fogadja el az elo rendszernel amikor bebootolok a root jelszot.
Bemasolni meg most nem tudom mivel a linuxba nem tudok belepni... se ssh zni mert mega root ot is letiltottam ezzel....
____________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
"Aha, es a mountolasnal mit ir ki, miert nem akarja? Telleg harapofogo kell hozzad?"
Kulonben a Gentoo mini install CD default root lesz, a LiveCD-nel meg lehet csak egy enter a jelszo, masik verzio a 'sudo su - ' alkalmazasa.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
A hiba:
livecd ~ # mount -t ext3 /dev/cciss/c0dp01 /mnt/gentoo
mount: special device /dev/cciss/c0dp01 does not exist
De rajottem en vagyok a figyelmetlen. Mivel elirtam nem c0dp01 hanem c0d0p1:(
A gentoonal meg tenyleg nem tudtam hoyg tudok rootal bejelntkezni, azt koszonom most ezt is felirtam mar... Most megprobalom a pam.d ben az ominozus fajlt atszerekeszteni es elmenteni, remelem sikerul.Sikerult... Most foyltathatom onnet ahol abbahygtam, a pam os cuccokkal valahogy nincs szerencsem ...
_______________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Juuj... nem tudom milyen vezerlo, de nem szeretem az ilyen device neveket. Amugy ilyenkor mindig a c0t0d0s0 jut eszembe, ez valami sun solarisos device megkozelites.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
No akkor addig eljutottam hogy be tudok lepni illetve az /etc/libnss-ldap.conf ba beirtam amegfelelo helyre a bind_policy soft - ot.
Atallitottam a jogosultsagot a /etc/ldap/*.keytab fajl(ok)ra.
Viszotn a script csomagokat meg nem tudom hogy hasznaljam... akkor pam ot beallitom amit kudltel annak megfeleoen, viszont hogy mukodjon a passwd ha jol ertettem kellenek azoka scriptek. Nos abban majd nemi segitseget kerhetnek? Ma tiszta bolond napom van, es tenyleg elnezesedet kerem ha kicsit kesze kuszan irtam, es erthetelenul...
Na pam beallitva, uyge passwd nem mukszik, de akkor a scripteket kell megicsinaljam hozza meg.
__________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
A passwd sose nem is fog muxeni, nem ldap-hoz talaltak ki.
Elvben a csomi tartalmaz egy newpasswd meg egy newuser perl scriptet, hozza egy, az etc-be bemasolando newuser.conf-ot. Ez utobbi okszeru kitoltesevel az elobbi ketto (de legalabbis a newuser tuti) muxokepesse kell legyen. Egy libnet-ldap-perl csomag fog hozza kelleni.
A tobbit asszem itt leirtam kommentbe, olvass vissza.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Nos elolvastam atolvastam, kezdem kapisgalni is. Bemasoltam a scripteket a megfelelo helyre illetve a config allomanyt az atc ala. Nos ami igy az atolvasas utan felmerult bennem az, hogy akkor az bind illetve apachot is ehhez kene beallitanom? Vagy valamit felreertettem:)
___________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Mit szeretnel a bind-tol? Vagy az apache-tol?
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
A dns beallitasok maitt gondoltam erre. Mintha olvastam volna az is kell ehhez.... De lehet nagy butasagot irtam, akkor sorry. Egyebkent ha az samba+ldap+kerberos konstrukcio mukodni fog, akkor gondoltam arra hogy webrol elerheto legyen az admin oldal, a megfelelo oldarol pl http://ldap.xxxx.xx es itt be lehetne allitgatni a dolgokat, mert nagyon valoszinu parancsosorsan csak en fogom hasznalni es tobb ember szertne ha nem vagyok pl addolni usert... Vagy ez igy hulyeseg?:)
Jah, meg szertnelek majd megkerni hoyg kerberoshoz is segits legyszives atirni a newuser illetve newpasswd scripteket, amennyiben lesz majd egy kis idod arra hogy segits.
Koszi elore is.
__________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
A DNS beallitasokkal sokat nem kell csinalni.
; Ez a mittudomain.com zona fajlja
_kerberos._tcp IN SRV 0 0 88 kdc.mittudomain.com
_kerberos._udp IN SRV 0 0 88 kdc.mittudomain.com
_kpasswd._tcp IN SRV 0 0 464 kdc.mittudomain.com
_kpasswd._udp IN SRV 0 0 464 kdc.mittudomain.com
_kerberos IN TXT MITTUDOMAIN.COM
; Esetleg meg ezeket bepakolhatod
_ldap._udp IN SRV 0 0 369 ldap.mittudomain.com
_ldap._tcp IN SRV 0 0 369 ldap.mittudomain.com
A newuser.conf fajl eleg egyertelmu, szerintem olvasd at ketszer, es magad is ra fogsz jonni, mi mit takar.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Ok ezt ertem, mar amit irtal, es alinket is atolvastam amit adtal.
De a kovetekezo problemam van a newuser perl scripttel:
mmcntr:/# newuser totya totyika
############################################
# #
# User creator for 'Panther-LDAP'-systems. #
# #
############################################
New password:
Re-enter new password:
* Username : totya
* Full name : totyika
* Home dir : /home/totya
* Email addressess :
totya@xxxx.xx
? These informations are correct (y/N) ? y
An error occured (bind): Invalid credentials!
mmcntr:/#
Valoszinu az LDAP nal valami nem koser sot biztos. Meg mondjuak migralast enm csinaltam meg, de nem hinnem hogy ez lenne az oka, avgy megis?
___________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
At kene nezni a rootdn es a rootpw ertekek nem lesznek jok a /etc/newuser.conf -ban. Fixalni kene.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
mmcntr:/# newuser totya totyika
############################################
# #
# User creator for 'Panther-LDAP'-systems. #
# #
############################################
New password:
Re-enter new password:
* Username : totya
* Full name : totyika
* Home dir : /home/totya
* Email addressess :
totya@xxxx.xx
? These informations are correct (y/N) ? y
An error occured (user): objectclass: value #4 invalid per syntax!
mmcntr:/#
Most meg eza hiba- valamelyik objectclass nem tetszik neki...
____________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Az inetLocalMailRecipient nem jo neki. Nezz bele a kodba, es faragd at a te rendszeredhez mukodore. Ugy remlik, emlitettem, hogy ez a rendszer mailLocalAddress/mailRoutingAddress alapu kezbesiteshez lett eredetileg fejlesztve. Nem kell sokat hekkelni, hogy nalad is menjen...
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Most eza hiba, mintha nem talalna a user objektumot.
mmcntr:/~wshare/csomagok# newuser zozo zozoka
############################################
# #
# User creator for 'Panther-LDAP'-systems. #
# #
############################################
New password:
Re-enter new password:
* Username : zozo
* Full name : zozoka
* Home dir : /home/zozo
? These informations are correct (y/N) ? y
An error occured (user): No such object!
mmcntr:/~wshare/csomagok#
___________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Elvben az a jo...
Te figyi, telleg nem tudom, mi lehet a baja. A cucc szabadon modosithato, telleg azt tudom csak mondani, hogy probalkozz. Korulbelul masfel-ket eve irtam azt a scriptet, akar meg meg is valtozhatott a Net::LDAP mukodese azota. Sosem lattam meg ilyen problemat vele.
Ja, a fullname-nel arra figyelj, hogy ket tagbol alljon, mert a sn es a givenName az alapjan van eloallitva. Nem tudom mennyire van korulbastyazva a kod (ha akkori onmagamra gondolok, igen kevesse), szoval ezen biztos el fog hasalni.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
mmcntr:~# newuser hobele blanc kukac
############################################
# #
# User creator for 'Panther-LDAP'-systems. #
# #
############################################
New password:
Re-enter new password:
* Username : hobele
* Full name : blanc
* Home dir : /home/hobele
hobele
? These informations are correct (y/N) ? y
An error occured (user): givenname: value #0 invalid per syntax!
mmcntr:~#
Ooo lehet aza baj hogy ldaphoz elobb migralni kena a felahsznalokat ?
_____________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
newuser valaki 'Valaki Janos'
Mondtam, hogy ket tagbol alljon.
A script mukodese nem alapszik a jelenlegi userek faji es adatbazisi hovatartozasan. Csak felvesz az LDAP-ba egy uj usert.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
mmcntr:~# newuser Bobak 'Bobak Zsolt'
############################################
# #
# User creator for 'Panther-LDAP'-systems. #
# #
############################################
New password:
Re-enter new password:
* Username : Bobak
* Full name : Bobak Zsolt
* Home dir : /home/Bobak
Bobak
? These informations are correct (y/N) ? y
An error occured (user): No such object!
mmcntr:~#
De most is ir hibat, vagy ez normalis ?:)Jaha home konyvtar alatt sem hozza letre a Bobak konyvtarat.
_______________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Ha jol latom, ez a user LDAP-beli megkrealasakor hal meg. En atneznem megegyszer a konfigokat, valoszinuleg vagy nem frissitetted a suffix-hez a userdn/groupdn beallitasokat, vagy maga a suffix nem a legjobb.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Na jo LDAP ot most egyelore kiiktattam. Megoldottam a problemat SAMBA val most mukodnek a jogosultsagok is, utana olvastam es mukszik, egy configba beletettem es egyik csoportnak admin joga van masik csoportnak csak olvasasi joga, masolni tud onnet de konyvtarat es fajlt nem tud letrehozni, illetve torolni sem (Ugy gondlom ez egy egyszerubb megoldas, nincs tul varialva...). Most azon filozom a kerberost alahogy beepitsem e a plusz hitelesites miatt vagy se ? IP bolokkokat belso halon szurnom kell majd, de lesz oylan hely ahol csak egy szemely ferhet hozza, a gond az DHCP es a az ip de mac address alapjan, amygarul nem valtozik hacsak huzamosabb ideig nincs bekapcsolva az adott gep...
Azert a perl tetszik es par doglot meg probalok vele automatizalni, remelem sikerul (bar erre igazabol a shell script is megtenne). Remelem nem irtam butasagot:$
Majd azert meg kerdezek ha elkadnek, elore is koszi.
______________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
A gond az, hogy egyszerubb alapbol LDAP-ra tervezni, mint a samba-t migralni LDAP-ra. Ezert nem volt a legjobb otlet az LDAP-ot kihagyni a bulibol. Segitenek, de gozom sincs arrol, mi a baja a te rendszereden. Nalam, tesztrendszeren mux a ket script.
Legrosszabb esetben lehet 'mobil' LDIF fajlokat gyartani, es sed-del megszemelyesiteni. Persze ez a favago megoldas...
A kerberos reszebe nem tudok segiteni, mert nem tudom, a sambat hogyan lehet ravenni a kerberos auth-ra ugy, hogy nincs windows server a haloban. En a neten csak olyan howtokat talaltam, ahol a samba csak egy "alarendelt" DC a haloban egy kozponti windows server felugyelete alatt.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
A server amin a dns illetve a domain nevek be vannak allitva windowos. A gond az hogy az LDAP al ket honapot szivtam es nem ment, kulonbozo okokbol, az is nehezites volt de ezt mar leirtam hogy a kulso server megszuri a portokat es nem mident tudok ugy beallitani ahogy szertnem, ki ki megy netre de szurve, es csak a csomagoknal is ket linket engedelyzett a kulso rendszergazda servernek, a belso tartomanyban kell ennek mukodnie, a regioknal is, de itt is szurve nemely tartomanyt. Foleg hogy a kulso rendszergazda mondta o ebben nem tud segitni ...Hiaba modtam el a problemamat. Es nekem az LDAP + SAMBA+ KERBEROS t kellett volna osszehozzam. Hat ide leirni hosszu esteleg meg tudnank beszelni ezt mas modon akar mailben? En mar nagyon tancstalan voltam ezert tettem ezt amit tettem es mar turelmetlenek si voltak miert nem mukodik.... VaN jobb otlted??? En mar nagyon ketsegbe voltam esve, igy megoldottam ahogy tudtam
_______________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni
Megcsinalhatjuk az en modellem szerint. Igaz, hogy ez egy alapveto LDAP ujratervezest igenyel, viszont megvan az az elonye, hogy mukodik. Ehhez majd hozza kell igazgatni a postfixet de kabe ennyi a dolog, amit foglalkozni kell a kerdessel. Kesz konfigokat tudok adni, igy idoben mindenkepp hamarabb vegzunk. Keress meg msn-en, altalaba fenn szoktam lenni. Elvben meebo-n keresztul tudunk beszelni, ha minden kotel szakad. De elvben annak is elegnek kell lenni, ha a msn kliensedben kipipalod a http eljaras hasznalatat, gondolom a standard 80-as port ki van engedve.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
subscribe, ez érdekel engem
/mazursky
Love your job but never love your company!
Because you never know when your company stops loving you!
- A hozzászóláshoz be kell jelentkezni
Nezd meg az orak jol jarnak -e, mind serveren mind a kliensen.
kinit user@REALM
kinit user@REALM..TLD
Amit nem lehet megirni assemblyben, azt nem lehet megirni.
- A hozzászóláshoz be kell jelentkezni
Koszi szepen, de azzal kezdtem.
__________________________________________________________________________________________________________________________
Az optimizmus nem azt jelenti, hogy valaki nem látja a problémákat, hanem hogy hisz abban, hogy mindig létezik egy megoldás.
- A hozzászóláshoz be kell jelentkezni