PS: Poza tym nie rozumiem dlaczego (nawet w przypadku usera, który jest
w /etc/passwd i /etc/shadow tylko nie ma $HOME) nie chce mi działać
pam_mkhomedir (tak, wiem, że chwilowo jest nieaktywny, jak był aktywny
też nie działał
PPS: FUT warning
PPPS: Wypadałoby jeszcze podać co po stronie Linuksowej
libpam-ldap:
Installed: 140-1
Candidate: 140-1
Version Table:
*** 140-1 0
500 http://ftp.icm.edu.pl stable/main Packages
500 http://ftp.pl.debian.org stable/main Packages
100 /var/lib/dpkg/status
libnss-ldap:
Installed: 186-1
Candidate: 186-1
Version Table:
*** 186-1 0
500 http://ftp.icm.edu.pl stable/main Packages
500 http://ftp.pl.debian.org stable/main Packages
100 /var/lib/dpkg/status
/etc/pam.d/login:
auth requisite pam_securetty.so
auth requisite pam_nologin.so
auth required pam_env.so
auth sufficient pam_ldap.so
auth required pam_unix.so nullok try_first_pass
account sufficient pam_ldap.so
account required pam_unix.so
session sufficient pam_ldap.so
session required pam_unix.so
#session required pam_mkhomedir.so skel=/etc/skel umask=0022
session optional pam_lastlog.so
session optional pam_motd.so
password required pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5
/etc/pam_ldap.conf:
host 192.168.101.1
base o=whatever
ldap_version 3
scope sub
pam_login_attribute uid # próbowałem też z cn
pam_password nds
Pozdrawiam
--
/\-\/\-\/\-\/\-\/\-\/\-\/\ I am Dyslexia of Borg, Prepare to have your
\ Kr...@epsilon.eu.org / ass laminated.
/ http://epsilon.eu.org/ \
\/-/\/-/\/-/\/-/\/-/\/-/\/
libpam-ncp - PAM module allowing authentication from a NetWare server
i działa to całkiem przyzwoicie...
--
Cezary
> Pozdrawiam
Nie chce Ci szczegolowo odpowiadac na to pytanie, ale bawiac sie
integracja linuxa i NW nasulelo mi sie kilka ogolnych moze uwag:
1. Ktora wersje NDS'u (eDirectory) masz na NW? Dobrze to robic na w
miare najnowszej wersji (od 8.7 w gore) na starszych NDS'ach (6 i 7) nie
bedzie to dzialac wcale.
2. Sprawdz czy masz wymagane wszystkie pakiety (nie znam debiana, ale
wiem ze np. redhat i suse wielu rzeczy domyslnie nie instaluja). Chodzi
tu glownie o pamy, nscd.
3.Sprawdz czy narzedzia typu ldapsearch prawidlowo odczytuja atrybuty z
LDAPa.
4.Jesli sa problemy sprobowac podzialac wylaczajac szyfrowanie
(wykluczyc np. wymuszanie szyfrowania hasla z wlasciwosci serwera LDAP'a).
5.Sporo przydatnych rzeczy na temat linuxa i eDiretory mozna znalezc
tutaj: http://hendersj.dyndns.org/
6. Na support-forums.novell.com jest kilka grup dyskusyjnych
poswieconych glownie tym tematom.
7. No i niesmiertelne google :-)
Pozdrowka
Puściłem sobie DSTRACE. Wynika z tego, że w ogóle mam jakieś problemy ze
schemą :-(
Pozdrawiam
--
Kruk@ -\ | [...]jakieś chore stosy i kolejki, które w
}-> epsilon.eu.org | dodatku są cholernie wolne. I co to ma do
http:// -/ | rzeczy z normalym, nowoczesym
| programowaniem?(gruesome)
8.85 (tylko zgłupieć można z tymi oznaczeniami Novella - o ile dobrze
pamiętam, to jest starsza wersja niż 8.6, tak?)
>2. Sprawdz czy masz wymagane wszystkie pakiety (nie znam debiana, ale
>wiem ze np. redhat i suse wielu rzeczy domyslnie nie instaluja). Chodzi
>tu glownie o pamy, nscd.
Hmm... na nscd nie wpadłem.
>3.Sprawdz czy narzedzia typu ldapsearch prawidlowo odczytuja atrybuty z
>LDAPa.
Owszem. Przynajmniej tak się wydaje.
>4.Jesli sa problemy sprobowac podzialac wylaczajac szyfrowanie
>(wykluczyc np. wymuszanie szyfrowania hasla z wlasciwosci serwera LDAP'a).
Jest wyłączone
>5.Sporo przydatnych rzeczy na temat linuxa i eDiretory mozna znalezc
>tutaj: http://hendersj.dyndns.org/
O. Zaraz zobaczę.
>6. Na support-forums.novell.com jest kilka grup dyskusyjnych
>poswieconych glownie tym tematom.
>7. No i niesmiertelne google :-)
No właśnie szukałem szukałem i rezultat jak w temacie ;-)
Pozdrawiam
--
\------------------------/ Przy zderzeniu betonu z elektroniką
| Kr...@epsilon.eu.org | najczęściej wygrywa beton(Krzysztof Ziętara)
| http://epsilon.eu.org/ |
/------------------------\
Niestety, daje _tylko_ uwierzytelnianie.
Pozdrawiam
--
\------------------------/ /* I can C clearly now */
| Kr...@epsilon.eu.org |
| http://epsilon.eu.org/ |
/------------------------\
> 8.85 (tylko zgłupieć można z tymi oznaczeniami Novella - o ile dobrze
> pamiętam, to jest starsza wersja niż 8.6, tak?)
Nie wiem jak sprawdzasz ta versje... na konsoli serwera napisz:
modules ds.nlm
Fakt, w roznych miejscach novell wprowadza rozne oznaczenia, ale dotycza
one z reguly roznych narzedzi typu dsrepair... ale i tak to jest mniej
pogmatwane niz w przypadku takiego oracla... versja bazy... 8.5.1.22.13
:-) To dopiero mozna sie zakrecic.
Nie jestem pewny ale wydaje mi sie, ze to co masz zainstalowane dotyczy
tzw pierwszego NDS'a 8 -mego.
Sciagnij ze download'u novella 8.73
Ta wersja jest w 100 % zgodna z 3 versja LDAPa.
I takie cos mi jeszcze do glowy przyszlo, sprawdz czy nie masz cos
pogmatwane z serwerem certyfikatow. Jesli to jest zle, ldap tez nie
bedzie ci dobrze dzialal.
8.85 (luty 2003) z NW51SP6
>Nie jestem pewny ale wydaje mi sie, ze to co masz zainstalowane dotyczy
>tzw pierwszego NDS'a 8 -mego.
>Sciagnij ze download'u novella 8.73
>Ta wersja jest w 100 % zgodna z 3 versja LDAPa.
Właśnie trochę się boję jeszcze bardziej gmerać ;-)
>I takie cos mi jeszcze do glowy przyszlo, sprawdz czy nie masz cos
>pogmatwane z serwerem certyfikatow. Jesli to jest zle, ldap tez nie
>bedzie ci dobrze dzialal.
Na razie robię bez żadnych SSL/TLS otwartym tekstem.
Pozdrawiam
--
/\-\/\-\/\-\/\-\/\-\/\-\/\ Next time increase \maxdeadcycles if you want
\ Kr...@epsilon.eu.org / me to be more patient!(TeX)
Hmm... Właśnie z tego, co widzę, ldapsearch zwraca praktycznie dokładnie
(z dokładnością do hasła), czego, jak widzę z DSTRACE.LOG żąda PAM.
Ale - doszedłem już do tego, że najwyraźniej, nss nie bardzo sobie radzi
z mapowaniem z numerycznego UIDu do nazwy. Bo ls -la pokazuje mi np.
nazwę grupy już ładnie pobraną z LDAPa, ale UID ciągle numeryczny. Będe
musiał jeszcze powalczyć.
Pozdrawiam
--
\.\.\.\.\.\.\.\.\.\.\.\.\.\ Boo-Boo to Yogi Borg: The ranger's not gonna
.\.Kr...@epsilon.eu.org.\.\. like being assimilated!
\.http://epsilon.eu.org/\.\
.\.\.\.\.\.\.\.\.\.\.\.\.\.
A NSS-a skonfigurowales ?
/etc/nsswitch.conf
/etc/libnss-ldap.conf
--
Bartlomiej Golenko
W korespondencji prywatnej nie odpowiadam osobom uzywajacym spamtrapow.
> /etc/pam_ldap.conf:
>
> host 192.168.101.1
> base o=whatever
>
> ldap_version 3
> scope sub
> pam_login_attribute uid # próbowałem też z cn
> pam_password nds
cos takiego zrobilem na pld-linux dziala wysmienicie.
niestety do takiej autoryzacji musi byc wykozystywany
uzytkownik proxy w nds'sie (nie wiem czy mozna to obejsc)
bez tego nie chcial mi dzialac.
dopisz do /etc/pam_ldap.conf
bind o=whatever
binddn cn=user_proxy,o=whatever
bindpw haslo
nie wiem do czego to potrzebujesz, czy chcesz aby uzytkownicy
mieli dostep do wszystkich uslug na maszynie, czy tylko do
wybranych?
jezeli maja miec wlasne katalogi na linuxsie to plik
/etc/nsswitch.conf powinien wygladac
passwd: db files ldap
group: db files
shadow: db files ldap
hosts: files dns
networks: files dns
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: db files
jak tak juz wyglada to spruboj nadac prawa do jakiegos pliku
uzytkownikowi ktory znajduje sie w nds'ie, tego z rozszerzona
schema. jezeli zadziala to znaczy ze wszystko dziala i musisz
zalozyc katalog domowy dla uzytkownika, zgodnie ze scieszka
podana w rozszezonej shemie(niepamietam nazwy).
ewentualnie czy cos widac w logach na linuxie
pozdrawiam
--
marcin rehlis