|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 02 Feb 2005 14:34:11
To : rush@basnet.by
Subject : Re: openldap log
--------------------------------------------------------------------------------
rush@basnet.by wrote:
> какое логическое объяснение описанному выше таки?
> Почему когда убиpаю nss_base* ldap'овский бюджет становится
> втpостепенным?
Интересный глюк. Я конечно не уверен, что просто из постингов все понял на
счет того, что у вас на компьютере (это ж не root over ssh ;), но глюк
интересный.
Плохо, что у вас какие-то непонятки с логом ldap. По идее в таком случае
поиск по ldap производится дважды и в одном случае вообще ничего не
находится. В логе можно было бы точно проследить.
Посмотрите что показывает strings от nss_ldap.so. Там должны быть дефолтные
запросы. Возможно в вашем линуксе просто немного сырая версия.
Если повторить те же запросы вручную, то должны быть схожие эффекты.
У мантейнеров есть такая привычка, загнать бинарь в дистрибут и ждать
репортов (вывод сделанный из наблюдения за перепиской по поводу ldap в
ALT ;). Думаю в случае Gentoo даже при его ориентирование на пересбор всего
и вся положение ничем не лучше.
Hу я у себя в писульке в официал не выложил, но в драфте есть такое резюме.
Включение ldap для a&a надо делать супер осторожно. По крайней мере у меня
даже перевод всех бюджетов под самбу заставил ввести еще 2 категории. 1-ый
это системный пользователь, который прописан в shadow. 2-ой это
пользователь почтовый (для многих служебных случаев : otrs, shared mail и
проч.), который в ldap но без профилей и с заблокированной sambaAccount.
Это еще не касаясь того как с ldap работает ssh ! Та еще песня ;) Т.е. ясно
же, что если апач пускается из wwwrun.nogroup то и то и другое должно быть
в file базе, а не в ldap, но не всегда ясно, что если для работы
администратор заводит свой бюджет, то его тоже лучше сделать в file базе ;)
А если для работы в сети надо чтобы это был еще и административный
samba-бюджет, то получается что необходимо создавать два специальных
бюджета 1.для работы с сервером в shadow и 2.для работы с самбой в ldap.
> su - rush я вызываю как pаз из под uid=rush.
Дело хозяйское, но "user1@host > su - user2" как-то логичнее.
> Hу что, может буду еще какие-нить более дpугие идеи?
Hу так или иначе su запрашивает аутентификацию от пользователя через pam.
Если у вас хеш в ldap лежит в des, а хеш в shadow в md5, то скорее всего
pam настроен на работу с md5 и хеши крипт не понимает.
Поробуйте вообще отключить pam, или перевести его под des.
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: openldap log |
Aleksey Barabanov |
02 Feb 2005 14:34:11 |
|
|
