|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 11 Mar 2004 11:49:31
To : Igor Tihonov
Subject : Re: LDAP + PAM
--------------------------------------------------------------------------------
Igor Tihonov wrote:
> AB> Здесь надо указать что-то одно. Т.е. или binddn или рута.
> ага, но когда rootbinddn из них нет то непускет в ldap!
> pam_ldap: error trying to bind (Invalid credentials)
> потому как выяснилось что хеш в bindpw низя...
Очевидно. И очевидно почему.
> прописал отрытым - пошло и при чемто одном, но юзера всервно
Это как-то очень скромно написано в документации ;)
> не пускет :( молча!
Вот тут собака и порылась.
Должен пускать.
Hужно добиться чтобы пускал рута как рута. Того что указан для чтения
пароьных хешей тоже пускал. И если нет ни одного, то должен входить как
binddn="", т.е. анонимом.
Т.е. все ошибки должны быть характера deny по привилениям.
> AB> Если это binddb с паролем "asd" то надо ему дать все права на чтение
> всех AB> полей.
> ага, фиг! тут хеш низя! пришлось открыть.
Hу опять же, ясно почему. Я так и написал "binddb с паролем \"asd\"".
> AB> А если это rootbinddn , то его пароль, клеартекстом лежащий, должен и
> так AB> позволять ему любой доступ.
>
> AB> А если не указать ничего, то бинд будет анонимом.
> результат - одинаков! всё проверяется, а в логах хрен!
> примерно похоже как еслиб логиншел был /bin/false у юзера
> в /etc/passwd
> AB> access to dn=".*,o=tiv,c=ru" attribute=userPassword
> AB> выкинуть !> by dn="cn=admin,o=tiv,c=ru" write
> почему? как я новых юзерей заводить буду?
А он и так все имеет. Такое надо если админ не root.
>>> # The admin dn has full write access
>>> access to *
> AB> выкинуть !> by dn="cn=admin,o=tiv,c=ru" write
> тоже самое...
>>> by * read
>>>
> AB> Псевдопользователь, указанный как root, имеет доступ всюду.
> странно... ща попровал - работает... a в докаж тихо...
Там много чего очень скромно.
> AB> Hадеюсь это соответствует "asd", но у меня {SHA}. Ldapadd его
> правильно AB> добавил ?
> да. можно просто подключится как cn=passusr,o=tiv,c=ru
> ~руками~ и всё нормально...
Hу тогда надо сравнить что не совпадает в логах при ручном подключении и при
подключении через автоматического клиента и найти мелкую ошибку в опциях
bind.
Hадо в acl указать так как я посоветовал. У меня были траблы с этим. Вообще
для начала надо дать всем права на все. И потом постепенно их укрутить.
Любая мелкая ошибка в этом делает процесс подключения невозможным. Судя по
тому что не срабатывает именно auth то траблы с доступом к userPassword.
Вообще главная проблема всех писулек на предмет LDAP в том, что там дается
пошаговка для идиотов. Если "идиоту" повезло, то он счастлив. Если "идиот"
сделает шаг в сторону, то "огонь открывается без предупреждения" ;) И никто
не описал процесс произвольной настройки или путь решения проблем.
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: LDAP + PAM |
Igor Tihonov |
11 Mar 2004 07:58:45 |
 Re: LDAP + PAM |
Aleksey Barabanov |
11 Mar 2004 11:49:31 |
|
|
