|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Igor Tihonov 2:5059/26.13 10 Mar 2004 03:18:29
To : Aleksey Barabanov
Subject : Re: LDAP + PAM
--------------------------------------------------------------------------------
.RFC-X-Complaints-To: usenet@TIV.CrazyHackStation
.RFC-NNTP-Posting-Date: 9 Mar 2004 23:18:29 GMT
Системный таймер отметил Tue, 09 Mar 04 21:37:12 +0300 когда Aleksey Barabanov
писал:
>> AB> Hадо поднять флаги в конфигурации сервера для появления нужных
>> AB> сообщений в логах на всех стадиях общения с сервером LDAP.
>> по подробнее можно? как стадии то отслеживать?
>> пока по логам LDAP я вижу как ищется юзер, и как отдаются
>> нужные поля. почемуто по 2 раза. причем поле userpassword
>> с первого раза dened, но со второго - отдается.
AB> Hу это оно.
нет. сейчас сдела чтоб так небыло. тоже непускает!
делал 2 способами:
1. разрешал доступ на чтение к этому полю всем в slapd.conf
2. завел юзера passusr, дал ему права на чтение и настроил
чтоб libpam-ldap через него коннектилась.
>> какой клиент? где крутить? у мя как я понял клиентов является
>> libpam-ldap потомучто ни login ни getty AFAIK о сущетвовании
AB> server:~ # rpm -ql `rpm -qa | grep pam_ldap` | grep ldap.conf
AB> /usr/share/doc/packages/pam_ldap/ldap.conf
понятно. у мя дебиан и тут немного не так.
AB> Который у меня потом ложится в /etc/ldap.conf
/etc/pam_ldap.conf
----------------------------------
host 127.0.0.1
base o=tiv,c=ru
ldap_version 3 # 2 тоже пробовал
binddn cn=passusr,o=tiv,c=ru
bindpw asd
rootbinddn cn=admin,o=tiv,c=ru
pam_password crypt
----------------------------------
был и вариант когда небыло cn=passusr, тогда просто не указвал
binddn,bindpw,rootbinddn. pam_password тож менял на clear.
/etc/ldap/slapd.conf
----------------------------------
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
schemacheck on
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
replogfile /var/lib/ldap/replog
loglevel 128
database ldbm
suffix "o=tiv,c=ru"
directory "/var/lib/ldap"
index objectClass eq
lastmod on
rootdn "cn=admin,o=tiv,c=ru"
rootpw {SSHA}aISCkJj9pBWK9sGeejR4PZ2CFaAWzRa/
access to attribute=userPassword
by dn="cn=admin,o=tiv,c=ru" write
by dn="cn=passusr,o=tiv,c=ru" read
by anonymous auth
by self write
by * none
# The admin dn has full write access
access to *
by dn="cn=admin,o=tiv,c=ru" write
by * read
# For Netscape Roaming support, each user gets a roaming
# profile for which they have write access to
access to dn=".*,ou=Roaming,o=morsnet"
by dn="cn=admin,o=tiv,c=ru" write
by dnattr=owner write
----------------------------------
специально заведенный юзер
----------------------------------
dn: cn=passusr,o=tiv,c=ru
cn: passusr
sn: passusr
objectClass: top
objectClass: person
userPassword: {SSHA}5dy9Bpt/+HvvQ5YcVl/QExrvVIBpygoZ
----------------------------------
>> LDAP и знать не должны. этим же pam занимается... а настройки
AB> Вот pam_ldap и будети клиентом.
меня клиента debconf настроил. мож что забыл? где почитать?
Igor { registered Linux user number #121385 } [Team: Сисоп в небе]
... ну и нажрались же вы вчера, товарищ Тихонов...
--- tin/1.5.8-20010221 ("Blue Water") (UNIX) (Linux/2.4.18tiv (i686))
* Origin: Sysop_Lair (2:5059/26.13@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: LDAP + PAM |
Igor Tihonov |
10 Mar 2004 03:18:29 |
 Re: LDAP + PAM |
Aleksey Barabanov |
10 Mar 2004 12:19:32 |
|
|
