PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Authentifizierung über LDAP



ruff
27.06.06, 19:31
HAllo,

Ich hab einen Samba PDC mit LDAP-Backend, kann mir bitte jemand erklären wie ich LDAP einrichten muss damit für jegliche authentifizierungsfragen die LDAP-Datenbank gefragt wird un nicht die linux dateien passwd oder shadow bzw smbpasswd ??

dann hab cih noch ein problem was damit zutun den ich muss alles computerkonten manuell anlegen sowohl in ldap und unter linux also in der passwd, aber eigentlich sollte das doch automatisch funktionieren wenn ich den rechner in die domäne nehme kann mir da jemand einen tipp geben ???


meine sldap.conf

allow bind_v2

# Schema and objectClass definitions
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/samba.schema

# Schema check allows for forcing entries to
# match schemas for their objectClasses's
schemacheck on

# Where the pid file is put. The init.d script
# will not stop the server if you change this.
pidfile /var/run/slapd/slapd.pid

# List of arguments that were passed to the server
argsfile /var/run/slapd.args

# Read slapd.conf(5) for possible values
loglevel 0

# Where the dynamically loaded modules are stored
modulepath /usr/lib/ldap
moduleload back_ldbm

backend ldbm
#checkpoint 512 30


database ldbm

# The base of your directory in database #1
suffix "dc=gfu,dc=local"
rootdn "cn=admin,dc=gfu,dc=local"
rootpw {SSHA}5eftlqyh/XdQrePuX9A2uWGOhXTItpJw

#oWhere the database file are physically stored for database #1

directory "/var/lib/ldap"


index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq
# Save the time that the entry gets modified, for database #1
lastmod on

# Where to store the replica logs for database #1




# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only

access to attrs=userPassword
by self write
by anonymous auth
by * none

access to attrs=sambaLMPassword
by self write
by anonymous auth
by * none

access to attrs=sambaNTPassword
by self write
by anonymous auth
by * none

access to *
by * read



replogfile /var/lib/slurpd/slapd.replog
replica uri=ldap://10.250.1.241:389
binddn=cn=admin,dc=gfu,dc=local
bindmethod=simple
credentials= {SSHA}VB6y1F0QHRLK+XFSgryTV7A2Usj2EoyV

jemand ne idee ??

Danke schon mal im vorraus...

mfg
Ruff

suck
27.06.06, 19:49
1) Ob LDAP oder passwd/shadow oder Irisscan regelt PAM. Jedenfalls, wenn deine Distri PAM nutzt (wahrscheinlich). In PAM musst du dich aber einlesen, da es nicht ganz einfach ist. Die Config findest du unter
/etc/security/* und /etc/pam.d/* oder in der /etc/pam.conf.


2) Du musst die Daten nicht doppelt halten, deine passwd/shadow kann dir bei LDAP Authentifikation egal sein.


3) Pass auf, dass du dich nicht versehentlich selbst aussprerrst

ruff
27.06.06, 21:38
ja ausgesperrt hab ich mich bei solchen versuchen schon öfter....

Ich benutze debian 3.1 als distrib.
Das heisst ich muss PAM entsprechend konfigurieren das bei anfragen auf LDAP-backend zurück gegriffen wird ?
ich hab mir schon überlegt ob es hilft wenn ich in der nsswitch.conf die einträge

passwd: files ldap
group: files ldap
shadow: files ldap

umzudrehen.... :-D

kann mir vielleicht jemand eine beispiel konfiguration posten ???
Und hängt das problem mit den Computerkonten auch mit pam zusammen ??

suck
27.06.06, 22:00
Das heisst ich muss PAM entsprechend konfigurieren das bei anfragen auf LDAP-backend zurück gegriffen wird ? Ganz genau

ich hab mir schon überlegt ob es hilft wenn ich in der nsswitch.conf die einträge ... umzudrehen.... :-DNö, das bringt nichts. In dieser Datei steht nur, was (übrigens von der glibc) genutzt werden kann - die Reihenfolge ist egal.

kann mir vielleicht jemand eine beispiel konfiguration posten ???Leider nein, noch nie gemacht..


Und hängt das problem mit den Computerkonten auch mit pam zusammen ??Ja, wenn für alles nur noch LDAP genutzt wird, werden die passwd, group, shadow, gshadow nicht mehr benötigt.

bla!zilla
28.06.06, 09:17
Ein Computerkonto für Samba ist quasi auch nur ein normales Objekt mit Attributen im LDAP. Das ist also kein Problem. Im Internet gibt es viele gute HowTos zu dem Thema.

ruff
28.06.06, 15:19
hi,

also ich bin etwas weitergekommen, un zwar:

1. Ein Computerkonto wird automatisch beim versuch ein rechner in die domäne zu nehmen angelegt !
2. wenn ich mittels getent passwd bzw group die benuter und gruppen auflisten lasse werden sowohl lokale als auch die die lediglich in dem LDAP-Verzeichnis angelegt sind aufgelistet.

3. ich kann mich direkt mit einem LDAP-User am Server anmelden
soweit so gut ,

Jetzt fehlt mir noch ein Zugang für LDAP-Benutzerkonten über SSH und zum aufnehmen von Rechner in die Domäne benötige ich immer noch ein lokales Computerkonto obwohl das LDAP konto automatisch angelegt wird ....

Jemand einen Idee außer das das was mit PAM zutun hat ?

danke im vorraus