Значит так, организовал авторизацию SAMBA через LDAP (два разных сервака)
но есть трабла - SAMBA не пускает зверя если его нет акаунта в системе т.е. он сначало смотрит акаунт в системе а потом тока смотрит в LDAP директорию за наличием логина и пароля после чего пускает на себя Прибиваю зверя в системе где SAMBA(но оставляю его в LDAP) самба тогда его не пускает.
Помогите советом, а то не хочеться заводить зверей и на LDAP и в системе где есть SAMBA...

• LDAP + SAMBA,Silent, 15:18 , 31-Окт-03
  • LDAP + SAMBA,martinix, 22:33 , 04-Ноя-03
  • LDAP + SAMBA,martinix, 22:59 , 04-Ноя-03
    • LDAP + SAMBA,Silent, 00:03 , 05-Ноя-03
      • LDAP + SAMBA,martinix, 06:48 , 05-Ноя-03
        • LDAP + SAMBA,martinix, 06:58 , 05-Ноя-03
      • LDAP + SAMBA,martinix, 06:50 , 05-Ноя-03
        • LDAP + SAMBA,martinix, 07:05 , 05-Ноя-03
          • LDAP + SAMBA,martinix, 07:21 , 05-Ноя-03

>Значит так, организовал авторизацию SAMBA через LDAP (два разных сервака)
>но есть трабла - SAMBA не пускает зверя если его нет акаунта
>в системе т.е. он сначало смотрит акаунт в системе а потом
>тока смотрит в LDAP директорию за наличием логина и пароля после
>чего пускает на себя Прибиваю зверя в системе где SAMBA(но оставляю
>его в LDAP) самба тогда его не пускает.
>Помогите советом, а то не хочеться заводить зверей и на LDAP и
>в системе где есть SAMBA...

Ну правельно, так и должно быть.
Если Linux, то в /etc/nsswitch.conf
passwd:     files ldap
shadow:     files  ldap
group:      files  ldap

Если FreeBSD (5.1 only), то /usr/ports/net/nss_ldap/
Далее тоже самое, что и для LINUX
настраиваешь /etc/ldap.conf
и каждому пользователю в lDAP добавляешь PosixAccount атрибуты, RFC2307, если не ошибаюсь.
да и статей здесь по этому поводу было очень много.
Удачи!

/etc/nsswitch.conf
Пробывал не работает (специально для этого на Линухе пробывал)
На фре через pam_ldap тоже не работает :(

>>Значит так, организовал авторизацию SAMBA через LDAP (два разных сервака)
>>но есть трабла - SAMBA не пускает зверя если его нет акаунта
>>в системе т.е. он сначало смотрит акаунт в системе а потом
>>тока смотрит в LDAP директорию за наличием логина и пароля после
>>чего пускает на себя Прибиваю зверя в системе где SAMBA(но оставляю
>>его в LDAP) самба тогда его не пускает.
>>Помогите советом, а то не хочеться заводить зверей и на LDAP и
>>в системе где есть SAMBA...
>
>Ну правельно, так и должно быть.
>Если Linux, то в /etc/nsswitch.conf
>passwd:     files ldap
>shadow:     files  ldap
>group:      files  ldap
>
>Если FreeBSD (5.1 only), то /usr/ports/net/nss_ldap/
>Далее тоже самое, что и для LINUX
>настраиваешь /etc/ldap.conf
>и каждому пользователю в lDAP добавляешь PosixAccount атрибуты, RFC2307, если не ошибаюсь.
>
>да и статей здесь по этому поводу было очень много.
>Удачи!

Щас опишу как я делал!!!
ОСЬ FreeBSD 4.7

1)Установил следующий софт
openssl-0.9.7c.tar.gz
db-4.1.25.tar.gz
openldap-2.1.23.tgz
pam_ldap.tgz

Все поставилось на ура
создал базу в LDAP

например test типо базы ldbm
занес в нее запись типа

dn: dc=test
objectclass: dcObject
objectClass: organization
dc: test
o: TEST

dn: uid=user,dc=test
uid: user
cn: USER XXX
objectclass: account
objectclass: posixAccount
loginshell: /bin/sh
uidnumber: 10000
gidnumber: 0
homedirectory: /usr/home/user
gecos: USER XXX
userpassword: {ssh}XXXXXXXX

Вроде все просто...

подчипляюсь к ней через ldapadministrator все в мармеладе и в шеколаде :)

в pam.conf прописал

sshd   auth            sufficient      /lib/security/pam_ldap.so
sshd   account         requred         /lib/security/pam_ldap.so
sshd   password        requred         /lib/security/pam_ldap.so
sshd   session         requred         /lib/securiry/pam_ldap.so

поправил /etc/ldap.conf для pam_conf как описано в букваре :)

Теперь внимание
пытаюсь поключиться к серваку через лдап директорию
при этом смотрю лог
tail -f /var/log/messages
в логе пишет
pam_ldap: error trying to bind (Server is unwilling to perform)
Оп ошибачка вышла :(
И на этом все :(

ПОМОГИТЕ КТО ПОДЫМАЛ!!!

>>>Значит так, организовал авторизацию SAMBA через LDAP (два разных сервака)
>>>но есть трабла - SAMBA не пускает зверя если его нет акаунта
>>>в системе т.е. он сначало смотрит акаунт в системе а потом
>>>тока смотрит в LDAP директорию за наличием логина и пароля после
>>>чего пускает на себя Прибиваю зверя в системе где SAMBA(но оставляю
>>>его в LDAP) самба тогда его не пускает.
>>>Помогите советом, а то не хочеться заводить зверей и на LDAP и
>>>в системе где есть SAMBA...
>>
>>Ну правельно, так и должно быть.
>>Если Linux, то в /etc/nsswitch.conf
>>passwd:     files ldap
>>shadow:     files  ldap
>>group:      files  ldap
>>
>>Если FreeBSD (5.1 only), то /usr/ports/net/nss_ldap/
>>Далее тоже самое, что и для LINUX
>>настраиваешь /etc/ldap.conf
>>и каждому пользователю в lDAP добавляешь PosixAccount атрибуты, RFC2307, если не ошибаюсь.
>>
>>да и статей здесь по этому поводу было очень много.
>>Удачи!
>
>
>Щас опишу как я делал!!!
>ОСЬ FreeBSD 4.7
>
>1)Установил следующий софт
>openssl-0.9.7c.tar.gz
>db-4.1.25.tar.gz
>openldap-2.1.23.tgz
>pam_ldap.tgz
>
>Все поставилось на ура
>создал базу в LDAP
>
>например test типо базы ldbm
>занес в нее запись типа
>
>dn: dc=test
>objectclass: dcObject
>objectClass: organization
>dc: test
>o: TEST
>
>dn: uid=user,dc=test
>uid: user
>cn: USER XXX
>objectclass: account
>objectclass: posixAccount
>loginshell: /bin/sh
>uidnumber: 10000
>gidnumber: 0
>homedirectory: /usr/home/user
>gecos: USER XXX
>userpassword: {ssh}XXXXXXXX
>
>Вроде все просто...
>
>подчипляюсь к ней через ldapadministrator все в мармеладе и в шеколаде :)
>
>
>в pam.conf прописал
>
>sshd   auth        
>   sufficient      /lib/security/pam_ldap.so
>sshd   account        
>requred         /lib/security/pam_ldap.so
>sshd   password        requred
>        /lib/security/pam_ldap.so
>sshd   session        
>requred         /lib/securiry/pam_ldap.so
>
>поправил /etc/ldap.conf для pam_conf как описано в букваре :)
>
>Теперь внимание
>пытаюсь поключиться к серваку через лдап директорию
>при этом смотрю лог
>tail -f /var/log/messages
>в логе пишет
>pam_ldap: error trying to bind (Server is unwilling to perform)
>Оп ошибачка вышла :(
>И на этом все :(
>
>ПОМОГИТЕ КТО ПОДЫМАЛ!!!

А `slapd -d -256` что пишет?

Я не вижу, в приведенной Вами схеме, пользователя от которого будет биндиться pam_ldap. Скорей всего ошибка именно из-за этого.
Или man slapd.conf на предмет allow bind_v2 (так вроде).

>>>>Значит так, организовал авторизацию SAMBA через LDAP (два разных сервака)
>>>>но есть трабла - SAMBA не пускает зверя если его нет акаунта
>>>>в системе т.е. он сначало смотрит акаунт в системе а потом
>>>>тока смотрит в LDAP директорию за наличием логина и пароля после
>>>>чего пускает на себя Прибиваю зверя в системе где SAMBA(но оставляю
>>>>его в LDAP) самба тогда его не пускает.
>>>>Помогите советом, а то не хочеться заводить зверей и на LDAP и
>>>>в системе где есть SAMBA...
>>>
>>>Ну правельно, так и должно быть.
>>>Если Linux, то в /etc/nsswitch.conf
>>>passwd:     files ldap
>>>shadow:     files  ldap
>>>group:      files  ldap
>>>
>>>Если FreeBSD (5.1 only), то /usr/ports/net/nss_ldap/
>>>Далее тоже самое, что и для LINUX
>>>настраиваешь /etc/ldap.conf
>>>и каждому пользователю в lDAP добавляешь PosixAccount атрибуты, RFC2307, если не ошибаюсь.
>>>
>>>да и статей здесь по этому поводу было очень много.
>>>Удачи!
>>
>>
>>Щас опишу как я делал!!!
>>ОСЬ FreeBSD 4.7
>>
>>1)Установил следующий софт
>>openssl-0.9.7c.tar.gz
>>db-4.1.25.tar.gz
>>openldap-2.1.23.tgz
>>pam_ldap.tgz
>>
>>Все поставилось на ура
>>создал базу в LDAP
>>
>>например test типо базы ldbm
>>занес в нее запись типа
>>
>>dn: dc=test
>>objectclass: dcObject
>>objectClass: organization
>>dc: test
>>o: TEST
>>
>>dn: uid=user,dc=test
>>uid: user
>>cn: USER XXX
>>objectclass: account
>>objectclass: posixAccount
>>loginshell: /bin/sh
>>uidnumber: 10000
>>gidnumber: 0
>>homedirectory: /usr/home/user
>>gecos: USER XXX
>>userpassword: {ssh}XXXXXXXX
>>
>>Вроде все просто...
>>
>>подчипляюсь к ней через ldapadministrator все в мармеладе и в шеколаде :)
>>
>>
>>в pam.conf прописал
>>
>>sshd   auth        
>>   sufficient      /lib/security/pam_ldap.so
>>sshd   account        
>>requred         /lib/security/pam_ldap.so
>>sshd   password        requred
>>        /lib/security/pam_ldap.so
>>sshd   session        
>>requred         /lib/securiry/pam_ldap.so
>>
>>поправил /etc/ldap.conf для pam_conf как описано в букваре :)
>>
>>Теперь внимание
>>пытаюсь поключиться к серваку через лдап директорию
>>при этом смотрю лог
>>tail -f /var/log/messages
>>в логе пишет
>>pam_ldap: error trying to bind (Server is unwilling to perform)
>>Оп ошибачка вышла :(
>>И на этом все :(
>>
>>ПОМОГИТЕ КТО ПОДЫМАЛ!!!
>
>А `slapd -d -256` что пишет?
>
>Я не вижу, в приведенной Вами схеме, пользователя от которого будет биндиться
>pam_ldap. Скорей всего ошибка именно из-за этого.
>Или man slapd.conf на предмет allow bind_v2 (так вроде).

в логах slapd -d -256 пишет что

conn=3 fd=15 ACCEPT from IP=192.168.2.13:1869 (IP=0.0.0.0:389)
conn=3 op=0 BIND dn="cn=admin,dc=access" method=128
conn=3 op=0 RESULT tag=97 err=53 text=unauthenticated bind (DN with no password) disallowed

зделал так
echo \{SSHA\}XXX\+XXXXXXXXXXXXXXXXXXX > ldap.secret

в логе
slapd -d -256
пишет:
conn=0 fd=10 ACCEPT from IP=192.168.2.13:1870 (IP=0.0.0.0:389)
conn=0 op=0 BIND dn="cn=admin,dc=access" method=128
conn=0 op=0 RESULT tag=97 err=49 text=

а pam_ldap в логах пишет:
pam_ldap: error trying to bind (Invalid credentials)

SILENT
А может в ldap.secret что прописать?

что-то я не пойму на каком этапе крединталис плохой ?
на этапе когда я в систему вхожу или когда pam_ldap пытается подключиться к LDAP серверу

>что-то я не пойму на каком этапе крединталис плохой ?
>на этапе когда я в систему вхожу или когда pam_ldap пытается подключиться
>к LDAP серверу

так разобрался я на каком этапе была трабла попробывал убрать шифрованые пароли заработало всмысле открытым текстом, щас буду пробывать чтобы пароли шли зашифрованные