|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 10 Mar 2004 12:19:32
To : Igor Tihonov
Subject : Re: LDAP + PAM
--------------------------------------------------------------------------------
Igor Tihonov wrote:
> нет. сейчас сдела чтоб так небыло. тоже непускает!
> делал 2 способами:
> 1. разрешал доступ на чтение к этому полю всем в slapd.conf
> 2. завел юзера passusr, дал ему права на чтение и настроил
> чтоб libpam-ldap через него коннектилась.
>
>>> какой клиент? где крутить? у мя как я понял клиентов является
>>> libpam-ldap потомучто ни login ни getty AFAIK о сущетвовании
> AB> server:~ # rpm -ql `rpm -qa | grep pam_ldap` | grep ldap.conf
> AB> /usr/share/doc/packages/pam_ldap/ldap.conf
> понятно. у мя дебиан и тут немного не так.
> AB> Который у меня потом ложится в /etc/ldap.conf
> /etc/pam_ldap.conf
Имя файла странное. Этот файл точто берется ? Проверка производится
именением настроек, например имени binddn, и поском в логах, что изменение
отработалось.
> ----------------------------------
> host 127.0.0.1
> base o=tiv,c=ru
> ldap_version 3 # 2 тоже пробовал
> binddn cn=passusr,o=tiv,c=ru
> bindpw asd
> rootbinddn cn=admin,o=tiv,c=ru
> pam_password crypt
> ----------------------------------
Здесь надо указать что-то одно. Т.е. или binddn или рута.
Если это binddb с паролем "asd" то надо ему дать все права на чтение всех
полей.
А если это rootbinddn , то его пароль, клеартекстом лежащий, должен и так
позволять ему любой доступ.
А если не указать ничего, то бинд будет анонимом.
> был и вариант когда небыло cn=passusr, тогда просто не указвал
> binddn,bindpw,rootbinddn. pam_password тож менял на clear.
Hет - крипт.
> /etc/ldap/slapd.conf
> ----------------------------------
> include /etc/ldap/schema/core.schema
> include /etc/ldap/schema/cosine.schema
> include /etc/ldap/schema/nis.schema
> include /etc/ldap/schema/inetorgperson.schema
> schemacheck on
> pidfile /var/run/slapd.pid
> argsfile /var/run/slapd.args
> replogfile /var/lib/ldap/replog
> loglevel 128
> database ldbm
> suffix "o=tiv,c=ru"
> directory "/var/lib/ldap"
> index objectClass eq
> lastmod on
> rootdn "cn=admin,o=tiv,c=ru"
> rootpw {SSHA}aISCkJj9pBWK9sGeejR4PZ2CFaAWzRa/
access to dn=".*,o=tiv,c=ru" attribute=userPassword
выкинуть !> by dn="cn=admin,o=tiv,c=ru" write
> by dn="cn=passusr,o=tiv,c=ru" read
> by anonymous auth
> by self write
> by * none
>
> # The admin dn has full write access
> access to *
выкинуть !> by dn="cn=admin,o=tiv,c=ru" write
> by * read
>
> # For Netscape Roaming support, each user gets a roaming
> # profile for which they have write access to
> access to dn=".*,ou=Roaming,o=morsnet"
> by dn="cn=admin,o=tiv,c=ru" write
> by dnattr=owner write
> ----------------------------------
Псевдопользователь, указанный как root, имеет доступ всюду.
> специально заведенный юзер
> ----------------------------------
> dn: cn=passusr,o=tiv,c=ru
> cn: passusr
> sn: passusr
> objectClass: top
> objectClass: person
> userPassword: {SSHA}5dy9Bpt/+HvvQ5YcVl/QExrvVIBpygoZ
Hадеюсь это соответствует "asd", но у меня {SHA}. Ldapadd его правильно
добавил ?
> ----------------------------------
>>> LDAP и знать не должны. этим же pam занимается... а настройки
> AB> Вот pam_ldap и будети клиентом.
> меня клиента debconf настроил. мож что забыл? где почитать?
Hичего страшного. Я тоже через YaST ен смог настроить ;) Все ручками.
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: LDAP + PAM |
Igor Tihonov |
10 Mar 2004 03:18:29 |
 Re: LDAP + PAM |
Aleksey Barabanov |
10 Mar 2004 12:19:32 |
|
|
