Netware, LDAP, pam_ldap i dupa (i pam_mkhomedir)
Mariusz Kruk
Usiłuję zestawić sobie uwierzytelnianie po LDAPie do NetWare. Poczytałem
parę Howto, poczułem się mądrzejszy, skonfigurowałem i nic. Co gorsza,
syslog w ogóle nie wypisuje żadnych komunikatów od pam_ldap. Z tcpdumpa
widać, że coś się dzieje (nie ustawiałem SSL), znajduje użytkownika, ale
nie ma ochoty się zalogować. Gdy po prostu uruchomię /bin/login z roota,
wygląda jakby działało (pyta o użytkownika, pyta o hasło po czym wraca
do shella, gdy podam złe hasło, każe jeszcze raz). I nie mam już
zupełnie pomysłu co mogłem zrobić nie tak.
Od strony NW rozszerzyłem schemę o posixAccount, posixGroup i
shadowAccount, zrobiłem ładnie serwer LDAP, grupę, dałem proxy usera.
vladem, albo gq mogę się też dostać do drzewa jako zwykły NDSowy user
(nie tylko jako nanonymous bind przez proxy usera).
PS: Poza tym nie rozumiem dlaczego (nawet w przypadku usera, który jest
w /etc/passwd i /etc/shadow tylko nie ma $HOME) nie chce mi działać
pam_mkhomedir (tak, wiem, że chwilowo jest nieaktywny, jak był aktywny
też nie działał
PPS: FUT warning
PPPS: Wypadałoby jeszcze podać co po stronie Linuksowej
libpam-ldap:
Installed: 140-1
Candidate: 140-1
Version Table:
*** 140-1 0
500 http://ftp.icm.edu.pl stable/main Packages
500 http://ftp.pl.debian.org stable/main Packages
100 /var/lib/dpkg/status
libnss-ldap:
Installed: 186-1
Candidate: 186-1
Version Table:
*** 186-1 0
500 http://ftp.icm.edu.pl stable/main Packages
500 http://ftp.pl.debian.org stable/main Packages
100 /var/lib/dpkg/status
/etc/pam.d/login:
auth requisite pam_securetty.so
auth requisite pam_nologin.so
auth required pam_env.so
auth sufficient pam_ldap.so
auth required pam_unix.so nullok try_first_pass
account sufficient pam_ldap.so
account required pam_unix.so
session sufficient pam_ldap.so
session required pam_unix.so
#session required pam_mkhomedir.so skel=/etc/skel umask=0022
session optional pam_lastlog.so
session optional pam_motd.so
password required pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5
/etc/pam_ldap.conf:
host 192.168.101.1
base o=whatever
ldap_version 3
scope sub
pam_login_attribute uid # próbowałem też z cn
pam_password nds
Pozdrawiam
--
/\-\/\-\/\-\/\-\/\-\/\-\/\ I am Dyslexia of Borg, Prepare to have your
\ Kr...@epsilon.eu.org / ass laminated.
/ http://epsilon.eu.org/ \
\/-/\/-/\/-/\/-/\/-/\/-/\/
Cezary Jackiewicz
libpam-ncp - PAM module allowing authentication from a NetWare server
i działa to całkiem przyzwoicie...
--
Cezary
Raff
news:slrncfcvc2.cc...@epsilon.rdc.pl...
> Mam sobie NW5.1 i Debiana z grubsza testing.
Ja sie nie bawie dokladnie NW, tylko samym eDirectory. Ma taki fajny feature
pt. trace. Podejrzewam ze w NW tez cos takiego znajdziesz - wybierasz sobie
ldap stack i wszystko co dotyczy autentykacji i operacji ldapowych. Jesli
zobaczysz ze user probuje sie autentykowac to mozna bedzie wywnioskowac czy
problem lezy po stronie konfiguracji LDAPa czy raczej pam_ldap...
Raff
--
raff-at-aster-dot-pl
gg:1174793
Pawel C
> Pozdrawiam
Nie chce Ci szczegolowo odpowiadac na to pytanie, ale bawiac sie
integracja linuxa i NW nasulelo mi sie kilka ogolnych moze uwag:
1. Ktora wersje NDS'u (eDirectory) masz na NW? Dobrze to robic na w
miare najnowszej wersji (od 8.7 w gore) na starszych NDS'ach (6 i 7) nie
bedzie to dzialac wcale.
2. Sprawdz czy masz wymagane wszystkie pakiety (nie znam debiana, ale
wiem ze np. redhat i suse wielu rzeczy domyslnie nie instaluja). Chodzi
tu glownie o pamy, nscd.
3.Sprawdz czy narzedzia typu ldapsearch prawidlowo odczytuja atrybuty z
LDAPa.
4.Jesli sa problemy sprobowac podzialac wylaczajac szyfrowanie
(wykluczyc np. wymuszanie szyfrowania hasla z wlasciwosci serwera LDAP'a).
5.Sporo przydatnych rzeczy na temat linuxa i eDiretory mozna znalezc
tutaj: http://hendersj.dyndns.org/
6. Na support-forums.novell.com jest kilka grup dyskusyjnych
poswieconych glownie tym tematom.
7. No i niesmiertelne google :-)
Pozdrowka
Mariusz Kruk
Raff pozwoliła sobie popełnić co następuje:
>Ja sie nie bawie dokladnie NW, tylko samym eDirectory. Ma taki fajny feature
>pt. trace. Podejrzewam ze w NW tez cos takiego znajdziesz - wybierasz sobie
>ldap stack i wszystko co dotyczy autentykacji i operacji ldapowych. Jesli
>zobaczysz ze user probuje sie autentykowac to mozna bedzie wywnioskowac czy
>problem lezy po stronie konfiguracji LDAPa czy raczej pam_ldap...
Puściłem sobie DSTRACE. Wynika z tego, że w ogóle mam jakieś problemy ze
schemą :-(
Pozdrawiam
--
Kruk@ -\ | [...]jakieś chore stosy i kolejki, które w
}-> epsilon.eu.org | dodatku są cholernie wolne. I co to ma do
http:// -/ | rzeczy z normalym, nowoczesym
| programowaniem?(gruesome)
Mariusz Kruk
Pawel C pozwoliła sobie popełnić co następuje:
>Nie chce Ci szczegolowo odpowiadac na to pytanie, ale bawiac sie
>integracja linuxa i NW nasulelo mi sie kilka ogolnych moze uwag:
>1. Ktora wersje NDS'u (eDirectory) masz na NW? Dobrze to robic na w
>miare najnowszej wersji (od 8.7 w gore) na starszych NDS'ach (6 i 7) nie
>bedzie to dzialac wcale.
8.85 (tylko zgłupieć można z tymi oznaczeniami Novella - o ile dobrze
pamiętam, to jest starsza wersja niż 8.6, tak?)
>2. Sprawdz czy masz wymagane wszystkie pakiety (nie znam debiana, ale
>wiem ze np. redhat i suse wielu rzeczy domyslnie nie instaluja). Chodzi
>tu glownie o pamy, nscd.
Hmm... na nscd nie wpadłem.
>3.Sprawdz czy narzedzia typu ldapsearch prawidlowo odczytuja atrybuty z
>LDAPa.
Owszem. Przynajmniej tak się wydaje.
>4.Jesli sa problemy sprobowac podzialac wylaczajac szyfrowanie
>(wykluczyc np. wymuszanie szyfrowania hasla z wlasciwosci serwera LDAP'a).
Jest wyłączone
>5.Sporo przydatnych rzeczy na temat linuxa i eDiretory mozna znalezc
>tutaj: http://hendersj.dyndns.org/
O. Zaraz zobaczę.
>6. Na support-forums.novell.com jest kilka grup dyskusyjnych
>poswieconych glownie tym tematom.
>7. No i niesmiertelne google :-)
No właśnie szukałem szukałem i rezultat jak w temacie ;-)
Pozdrawiam
--
\------------------------/ Przy zderzeniu betonu z elektroniką
| Kr...@epsilon.eu.org | najczęściej wygrywa beton(Krzysztof Ziętara)
| http://epsilon.eu.org/ |
/------------------------\
Mariusz Kruk
Cezary Jackiewicz pozwoliła sobie popełnić co następuje:
>libpam-ncp - PAM module allowing authentication from a NetWare server
>
>i działa to całkiem przyzwoicie...
Niestety, daje _tylko_ uwierzytelnianie.
Pozdrawiam
--
\------------------------/ /* I can C clearly now */
| Kr...@epsilon.eu.org |
| http://epsilon.eu.org/ |
/------------------------\
Pawel C
> 8.85 (tylko zgłupieć można z tymi oznaczeniami Novella - o ile dobrze
> pamiętam, to jest starsza wersja niż 8.6, tak?)
Nie wiem jak sprawdzasz ta versje... na konsoli serwera napisz:
modules ds.nlm
Fakt, w roznych miejscach novell wprowadza rozne oznaczenia, ale dotycza
one z reguly roznych narzedzi typu dsrepair... ale i tak to jest mniej
pogmatwane niz w przypadku takiego oracla... versja bazy... 8.5.1.22.13
:-) To dopiero mozna sie zakrecic.
Nie jestem pewny ale wydaje mi sie, ze to co masz zainstalowane dotyczy
tzw pierwszego NDS'a 8 -mego.
Sciagnij ze download'u novella 8.73
Ta wersja jest w 100 % zgodna z 3 versja LDAPa.
I takie cos mi jeszcze do glowy przyszlo, sprawdz czy nie masz cos
pogmatwane z serwerem certyfikatow. Jesli to jest zle, ldap tez nie
bedzie ci dobrze dzialal.
Mariusz Kruk
Pawel C pozwoliła sobie popełnić co następuje:
>> pamiętam, to jest starsza wersja niż 8.6, tak?)
>Nie wiem jak sprawdzasz ta versje... na konsoli serwera napisz:
>modules ds.nlm
8.85 (luty 2003) z NW51SP6
>Nie jestem pewny ale wydaje mi sie, ze to co masz zainstalowane dotyczy
>tzw pierwszego NDS'a 8 -mego.
>Sciagnij ze download'u novella 8.73
>Ta wersja jest w 100 % zgodna z 3 versja LDAPa.
Właśnie trochę się boję jeszcze bardziej gmerać ;-)
>I takie cos mi jeszcze do glowy przyszlo, sprawdz czy nie masz cos
>pogmatwane z serwerem certyfikatow. Jesli to jest zle, ldap tez nie
>bedzie ci dobrze dzialal.
Na razie robię bez żadnych SSL/TLS otwartym tekstem.
Pozdrawiam
--
/\-\/\-\/\-\/\-\/\-\/\-\/\ Next time increase \maxdeadcycles if you want
\ Kr...@epsilon.eu.org / me to be more patient!(TeX)
Mariusz Kruk
Pawel C pozwoliła sobie popełnić co następuje:
>integracja linuxa i NW nasulelo mi sie kilka ogolnych moze uwag:
>LDAPa.
Hmm... Właśnie z tego, co widzę, ldapsearch zwraca praktycznie dokładnie
(z dokładnością do hasła), czego, jak widzę z DSTRACE.LOG żąda PAM.
Ale - doszedłem już do tego, że najwyraźniej, nss nie bardzo sobie radzi
z mapowaniem z numerycznego UIDu do nazwy. Bo ls -la pokazuje mi np.
nazwę grupy już ładnie pobraną z LDAPa, ale UID ciągle numeryczny. Będe
musiał jeszcze powalczyć.
Pozdrawiam
--
\.\.\.\.\.\.\.\.\.\.\.\.\.\ Boo-Boo to Yogi Borg: The ranger's not gonna
.\.Kr...@epsilon.eu.org.\.\. like being assimilated!
\.http://epsilon.eu.org/\.\
.\.\.\.\.\.\.\.\.\.\.\.\.\.
Bartek Golenko
> Mam sobie NW5.1 i Debiana z grubsza testing.
> Usiłuję zestawić sobie uwierzytelnianie po LDAPie do NetWare. Poczytałem
A NSS-a skonfigurowales ?
/etc/nsswitch.conf
/etc/libnss-ldap.conf
--
Bartlomiej Golenko
W korespondencji prywatnej nie odpowiadam osobom uzywajacym spamtrapow.
marcin rehlis
> /etc/pam_ldap.conf:
>
> host 192.168.101.1
> base o=whatever
>
> ldap_version 3
> scope sub
> pam_login_attribute uid # próbowałem też z cn
> pam_password nds
cos takiego zrobilem na pld-linux dziala wysmienicie.
niestety do takiej autoryzacji musi byc wykozystywany
uzytkownik proxy w nds'sie (nie wiem czy mozna to obejsc)
bez tego nie chcial mi dzialac.
dopisz do /etc/pam_ldap.conf
bind o=whatever
binddn cn=user_proxy,o=whatever
bindpw haslo
nie wiem do czego to potrzebujesz, czy chcesz aby uzytkownicy
mieli dostep do wszystkich uslug na maszynie, czy tylko do
wybranych?
jezeli maja miec wlasne katalogi na linuxsie to plik
/etc/nsswitch.conf powinien wygladac
passwd: db files ldap
group: db files
shadow: db files ldap
hosts: files dns
networks: files dns
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: db files
jak tak juz wyglada to spruboj nadac prawa do jakiegos pliku
uzytkownikowi ktory znajduje sie w nds'ie, tego z rozszerzona
schema. jezeli zadziala to znaczy ze wszystko dziala i musisz
zalozyc katalog domowy dla uzytkownika, zgodnie ze scieszka
podana w rozszezonej shemie(niepamietam nazwy).
ewentualnie czy cos widac w logach na linuxie
pozdrawiam
--
marcin rehlis