ЛЮДИ ПАМАГИТЕ ,у меня стоит openldap- 2.3.14 , courier-imap 4.1.0, courier-authlib 0.58
проблема в том , что при попытке почтового клиента подключится к imap серверу после подключения соединение сразу рубится, в логах :
authdaemond: authldaplib: refuse to authenticate user gid=0 uid=0 (zero gid or uid not permitted)судя по логам LDAP не передает gidNumber и uidNumber
кто сталкивался , ато я уже не знаю куда рыть, а делать надо!
заранее благодарен!
>ЛЮДИ ПАМАГИТЕ ,у меня стоит openldap- 2.3.14 , courier-imap 4.1.0, courier-authlib 0.58
>
>проблема в том , что при попытке почтового клиента подключится к imap
>серверу после подключения соединение сразу рубится, в логах :
>authdaemond: authldaplib: refuse to authenticate user gid=0 uid=0 (zero gid or uid
>not permitted)
>
>судя по логам LDAP не передает gidNumber и uidNumber
>
>кто сталкивался , ато я уже не знаю куда рыть, а делать
>надо!
>
>заранее благодарен!
интересно, какому почтовому клиенту понадобился gid? может всё таки проблема связки курьера с лдапом? как организованна аутентификация?
>>ЛЮДИ ПАМАГИТЕ ,у меня стоит openldap- 2.3.14 , courier-imap 4.1.0, courier-authlib 0.58
>>
>>проблема в том , что при попытке почтового клиента подключится к imap
>>серверу после подключения соединение сразу рубится, в логах :
>>authdaemond: authldaplib: refuse to authenticate user gid=0 uid=0 (zero gid or uid
>>not permitted)
>>
>>судя по логам LDAP не передает gidNumber и uidNumber
>>
>>кто сталкивался , ато я уже не знаю куда рыть, а делать
>>надо!
>>
>>заранее благодарен!
>
>
>интересно, какому почтовому клиенту понадобился gid? может всё таки проблема связки курьера
>с лдапом? как организованна аутентификация?
Ааутентификация происходит посредством модуля authldap из библиотек courier-authlib ,
конфиг authldaprc:LDAP_SERVER ldap
LDAP_PORT 389
LDAP_PROTOCOL_VERSION 3
LDAP_BASEDN ou=TEST,o=COMP,c=SU
LDAP_BINDDN cn=Manager,ou=TEST,o=COMP,c=SU
LDAP_BINDPW xxx
LDAP_TIMEOUT 5
LDAP_MAIL uid
LDAP_HOMEDIR homeDirectory
LDAP_DEFAULTDELIVERY defaultDelivery
LDAP_FULLNAME cn
LDAP_CLEARPW clearPassword
LDAP_CRYPTPW userPasswordLDAP_UID uidNumber
LDAP_GID gidNumberLDAP_DEREF never
причем пароль , имячко , и домашний каталог, LDAP передает правильно!
>>>ЛЮДИ ПАМАГИТЕ ,у меня стоит openldap- 2.3.14 , courier-imap 4.1.0, courier-authlib 0.58
>>>
>>>проблема в том , что при попытке почтового клиента подключится к imap
>>>серверу после подключения соединение сразу рубится, в логах :
>>>authdaemond: authldaplib: refuse to authenticate user gid=0 uid=0 (zero gid or uid
>>>not permitted)
>>>
>>>судя по логам LDAP не передает gidNumber и uidNumber
>>>
>>>кто сталкивался , ато я уже не знаю куда рыть, а делать
>>>надо!
>>>
>>>заранее благодарен!
>>
>>
>>интересно, какому почтовому клиенту понадобился gid? может всё таки проблема связки курьера
>>с лдапом? как организованна аутентификация?
>
>
>Ааутентификация происходит посредством модуля authldap из библиотек courier-authlib ,
>конфиг authldaprc:
>
>LDAP_SERVER ldap
>LDAP_PORT 389
>LDAP_PROTOCOL_VERSION 3
>LDAP_BASEDN ou=TEST,o=COMP,c=SU
>LDAP_BINDDN cn=Manager,ou=TEST,o=COMP,c=SU
>LDAP_BINDPW xxx
>LDAP_TIMEOUT 5
>LDAP_MAIL uid
>LDAP_HOMEDIR homeDirectory
>LDAP_DEFAULTDELIVERY defaultDelivery
>LDAP_FULLNAME cn
>
>
>LDAP_CLEARPW clearPassword
>LDAP_CRYPTPW userPassword
>
>LDAP_UID uidNumber
>LDAP_GID gidNumberу вас что так и стоит? хехе..
ответ в прочтении документации на тему этих 2-х параметров>LDAP_DEREF never
>
>причем пароль , имячко , и домашний каталог, LDAP передает правильно!
>>>>ЛЮДИ ПАМАГИТЕ ,у меня стоит openldap- 2.3.14 , courier-imap 4.1.0, courier-authlib 0.58
>>>>
>>>>проблема в том , что при попытке почтового клиента подключится к imap
>>>>серверу после подключения соединение сразу рубится, в логах :
>>>>authdaemond: authldaplib: refuse to authenticate user gid=0 uid=0 (zero gid or uid
>>>>not permitted)
>>>>
>>>>судя по логам LDAP не передает gidNumber и uidNumber
>>>>
>>>>кто сталкивался , ато я уже не знаю куда рыть, а делать
>>>>надо!
>>>>
>>>>заранее благодарен!
>>>
>>>
>>>интересно, какому почтовому клиенту понадобился gid? может всё таки проблема связки курьера
>>>с лдапом? как организованна аутентификация?
>>
>>
>>Ааутентификация происходит посредством модуля authldap из библиотек courier-authlib ,
>>конфиг authldaprc:
>>
>>LDAP_SERVER ldap
>>LDAP_PORT 389
>>LDAP_PROTOCOL_VERSION 3
>>LDAP_BASEDN ou=TEST,o=COMP,c=SU
>>LDAP_BINDDN cn=Manager,ou=TEST,o=COMP,c=SU
>>LDAP_BINDPW xxx
>>LDAP_TIMEOUT 5
>>LDAP_MAIL uid
>>LDAP_HOMEDIR homeDirectory
>>LDAP_DEFAULTDELIVERY defaultDelivery
>>LDAP_FULLNAME cn
>>
>>
>>LDAP_CLEARPW clearPassword
>>LDAP_CRYPTPW userPassword
>>
>>LDAP_UID uidNumber
>>LDAP_GID gidNumber
>
>у вас что так и стоит? хехе..
>ответ в прочтении документации на тему этих 2-х параметров
>
>>LDAP_DEREF never
>>
>>причем пароль , имячко , и домашний каталог, LDAP передает правильно!
# Uncomment the following, and modify as appropriate, if your LDAP database
# stores individual userids and groupids. Otherwise, you must uncomment
# LDAP_GLOB_UID and LDAP_GLOB_GID above. LDAP_GLOB_UID and LDAP_GLOB_GID
# specify a uid/gid for everyone. Otherwise, LDAP_UID and LDAP_GID must
# be defined as attributes for everyone.может я что-то не понимаю, но у меня в Ldap базе для каждого юзверя хранятся gid и uid...
более того в другом офисе у нас все стоит именно так и все прекрасно работает :(((
>>>>>ЛЮДИ ПАМАГИТЕ ,у меня стоит openldap- 2.3.14 , courier-imap 4.1.0, courier-authlib 0.58
>>>>>
>>>>>проблема в том , что при попытке почтового клиента подключится к imap
>>>>>серверу после подключения соединение сразу рубится, в логах :
>>>>>authdaemond: authldaplib: refuse to authenticate user gid=0 uid=0 (zero gid or uid
>>>>>not permitted)
>>>>>
>>>>>судя по логам LDAP не передает gidNumber и uidNumber
>>>>>
>>>>>кто сталкивался , ато я уже не знаю куда рыть, а делать
>>>>>надо!
>>>>>
>>>>>заранее благодарен!
>>>>
>>>>
>>>>интересно, какому почтовому клиенту понадобился gid? может всё таки проблема связки курьера
>>>>с лдапом? как организованна аутентификация?
>>>
>>>
>>>Ааутентификация происходит посредством модуля authldap из библиотек courier-authlib ,
>>>конфиг authldaprc:
>>>
>>>LDAP_SERVER ldap
>>>LDAP_PORT 389
>>>LDAP_PROTOCOL_VERSION 3
>>>LDAP_BASEDN ou=TEST,o=COMP,c=SU
>>>LDAP_BINDDN cn=Manager,ou=TEST,o=COMP,c=SU
>>>LDAP_BINDPW xxx
>>>LDAP_TIMEOUT 5
>>>LDAP_MAIL uid
>>>LDAP_HOMEDIR homeDirectory
>>>LDAP_DEFAULTDELIVERY defaultDelivery
>>>LDAP_FULLNAME cn
>>>
>>>
>>>LDAP_CLEARPW clearPassword
>>>LDAP_CRYPTPW userPassword
>>>
>>>LDAP_UID uidNumber
>>>LDAP_GID gidNumber
>>
>>у вас что так и стоит? хехе..
>>ответ в прочтении документации на тему этих 2-х параметров
>>
>>>LDAP_DEREF never
>>>
>>>причем пароль , имячко , и домашний каталог, LDAP передает правильно!
>
>
># Uncomment the following, and modify as appropriate, if your LDAP database
>
># stores individual userids and groupids. Otherwise, you must uncomment
># LDAP_GLOB_UID and LDAP_GLOB_GID above. LDAP_GLOB_UID and LDAP_GLOB_GID
># specify a uid/gid for everyone. Otherwise, LDAP_UID and LDAP_GID must
>
># be defined as attributes for everyone.
>
>может я что-то не понимаю, но у меня в Ldap базе для
>каждого юзверя хранятся gid и uid...
>более того в другом офисе у нас все стоит именно так и
>все прекрасно работает :(((ну давайте разбираться вместе. судя по конфигу, у вас каждый пользователь имеет помимо
uid-а используемого для аутентификации ещё и uidNumber и gidNumber используемый курьером для проставления прав в индивидуальных хранилищах imap. Это на самом деле так?
Или всё таки imap хранилище имеет uidNumber и gidNumber юзера, под которым работает курьер? Тогда имеет смысл выставить DAP_GLOB_UID and LDAP_GLOB_GID с uidNumber и gidNumber курьерного юзера.
Или я вообще неверно интерпритирую значение этих параметров?
>ну давайте разбираться вместе. судя по конфигу, у вас каждый пользователь имеет
>помимо
>uid-а используемого для аутентификации ещё и uidNumber и gidNumber используемый курьером для
>проставления прав в индивидуальных хранилищах imap. Это на самом деле так?
>
>Или всё таки imap хранилище имеет uidNumber и gidNumber юзера, под которым
>работает курьер? Тогда имеет смысл выставить DAP_GLOB_UID and LDAP_GLOB_GID с uidNumber
>и gidNumber курьерного юзера.
>Или я вообще неверно интерпритирую значение этих параметров?
да в Ldapе хранится uid в виде имечка , и отдельно uidNumber и gidNumber, почта хранится в домашнем каталоге каждого пользователя
>
>>ну давайте разбираться вместе. судя по конфигу, у вас каждый пользователь имеет
>>помимо
>>uid-а используемого для аутентификации ещё и uidNumber и gidNumber используемый курьером для
>>проставления прав в индивидуальных хранилищах imap. Это на самом деле так?
>>
>>Или всё таки imap хранилище имеет uidNumber и gidNumber юзера, под которым
>>работает курьер? Тогда имеет смысл выставить DAP_GLOB_UID and LDAP_GLOB_GID с uidNumber
>>и gidNumber курьерного юзера.
>>Или я вообще неверно интерпритирую значение этих параметров?
>
>
>да в Ldapе хранится uid в виде имечка , и отдельно uidNumber
>и gidNumber, почта хранится в домашнем каталоге каждого пользователя
Явите общественности ldif контейнера пользователя.
dn: uid=l.makarov,ou=Accounts,ou=PJ0020,o=OBERON,c=SU
cn: l.makarov
sn: l.makarov
uid: l.makarov
uidNumber: 2192
gidNumber: 513
homeDirectory: /home/users/users/l.makarov
loginShell: /bin/false
gecos: l.makarov
description: l.makarov
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
displayName: l.makarov
sambaAcctFlags: [UX]
sambaSID: S-1-5-21-1214429723-3201693330-1744561307-5384
sambaPrimaryGroupSID: S-1-5-21-1214429723-3201693330-1744561307-513
sambaLMPassword: 01C5240268230FC5AAD3B435B51404EE
sambaNTPassword: EE73A940389AFA41FBBFCF2D2FAAF46C
sambaPwdLastSet: 1130261689
userPassword: {CRYPT}$1$G9MKZADi$ZoKDapnBnkeUIHlQoFDy2/
qmailGID: 513
mail: l.makarov@kazan.alita.su
objectClass: top,inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount,qmailUser
qmailUID: 2192
>dn: uid=l.makarov,ou=Accounts,ou=PJ0020,o=OBERON,c=SU
>cn: l.makarov
>sn: l.makarov
>uid: l.makarov
>uidNumber: 2192
>gidNumber: 513
>homeDirectory: /home/users/users/l.makarov
>loginShell: /bin/false
>gecos: l.makarov
>description: l.makarov
>sambaLogonTime: 0
>sambaLogoffTime: 2147483647
>sambaKickoffTime: 2147483647
>sambaPwdCanChange: 0
>sambaPwdMustChange: 2147483647
>displayName: l.makarov
>sambaAcctFlags: [UX]
>sambaSID: S-1-5-21-1214429723-3201693330-1744561307-5384
>sambaPrimaryGroupSID: S-1-5-21-1214429723-3201693330-1744561307-513
>sambaLMPassword: 01C5240268230FC5AAD3B435B51404EE
>sambaNTPassword: EE73A940389AFA41FBBFCF2D2FAAF46C
>sambaPwdLastSet: 1130261689
>userPassword: {CRYPT}$1$G9MKZADi$ZoKDapnBnkeUIHlQoFDy2/
>qmailGID: 513
>mail: l.makarov@kazan.alita.su
>objectClass: top,inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount,qmailUser
>qmailUID: 2192LDAP_BASEDN ou=TEST,o=COMP,c=SU
uid=l.makarov,ou=Accounts,ou=PJ0020,o=OBERON,c=SU
Так и должно быть?# LDAP_FILTER (objectClass=CourierMailAccount)
LDAP_FILTER (objectClass=qmailUser)
Если не настроен LDAP_FILTER, то используется CourierMailAccount, в контейнере пользователя я не вижу данного объекта.LDAP_UID uidNumber
LDAP_GID gidNumberLDAP_URI ldap://ldap.example.com
А у Вас пользователь с группой есть в /etc/master.passwd и /etc/group, или же настроен NSS ??
>uidNumber: 2192
>gidNumber: 513
Если нет, то видимо нужно добавить
LDAP_GLOB_UID vmail
LDAP_GLOB_GID vmail
LDAP_BASEDN ou=PJ0020,o=OBERON,c=SU
uid=l.makarov,ou=Accounts,ou=PJ0020,o=OBERON,c=SU
с этим все впорядке....NSS настроен, LDAP_FILTER закоменчен...
учтя все вышесказанные замечания, все равно результат тот-же
привожу более подробный логJul 13 23:21:57 pdc authdaemond: authldap: trying this module
Jul 13 23:21:57 pdc authdaemond: using search filter: (uid=admin)
Jul 13 23:21:57 pdc slapd[1555]: send_ldap_result: conn=27 op=3 p=3
Jul 13 23:21:57 pdc slapd[1555]: send_ldap_response: msgid=4 tag=101 err=0
Jul 13 23:21:57 pdc authdaemond: one entry returned,
DN:
uid=admin,ou=Accounts,ou=TEST,o=ALITA,c=SU
Jul 13 23:21:57 pdc authdaemond: raw ldap entry returned:Jul 13 23:21:57 pdc authdaemond: | cn: admin
Jul 13 23:21:57 pdc authdaemond: | uid: admin
Jul 13 23:21:57 pdc authdaemond: | homeDirectory: /home/users/users/admin
Jul 13 23:21:57 pdc authdaemond: | userPassword:{CRYPT}$1$TfQor12v$CpgfPhlU7wLNdlGPu4tvf1
Jul 13 23:21:57 pdc authdaemond: authldaplib: refuse to authenticate admin:
uid=0, gid=0 (zero uid or gid not permitted)
Jul 13 23:21:57 pdc authdaemond: authldaplib: sysusername=<null>,
sysuserid=0,
sysgroupid=0, homedir=/home/users/users/admin, address=admin,fullname=admin, maildir=<null>, quota=<null>, options=<null>
Jul 13 23:21:57 pdc authdaemond: authldaplib: clearpasswd=<null>
,
passwd={CRYPT}$1$TfQor12v$CpgfPhlU7wLNdlGPu4tvf1
Jul 13 23:21:57 pdc authdaemond: password matches successfully
Jul 13 23:21:57 pdc authdaemond: authldap: TEMPFAIL - no more modules will
be tried
Jul 13 23:21:57 pdc imapd: LOGIN FAILED, user=admin,
ip=[::ffff:192.168.7.31]
Jul 13 23:21:57 pdc imapd: authentication error: Input/output error
>учтя все вышесказанные замечания, все равно результат тот-же
> привожу более подробный лог
>
>Jul 13 23:21:57 pdc authdaemond: authldap: trying this module
>
>Jul 13 23:21:57 pdc authdaemond: using search filter: (uid=admin)
>
>Jul 13 23:21:57 pdc slapd[1555]: send_ldap_result: conn=27 op=3 p=3
>
>Jul 13 23:21:57 pdc slapd[1555]: send_ldap_response: msgid=4 tag=101 err=0
>
>Jul 13 23:21:57 pdc authdaemond: one entry returned,
>DN:
>uid=admin,ou=Accounts,ou=TEST,o=ALITA,c=SU
>
>
>Jul 13 23:21:57 pdc authdaemond: raw ldap entry returned:
>
>Jul 13 23:21:57 pdc authdaemond: | cn: admin
>
>Jul 13 23:21:57 pdc authdaemond: | uid: admin
>
>Jul 13 23:21:57 pdc authdaemond: | homeDirectory: /home/users/users/admin
>Jul 13 23:21:57 pdc authdaemond: | userPassword:
>
>{CRYPT}$1$TfQor12v$CpgfPhlU7wLNdlGPu4tvf1
>
>Jul 13 23:21:57 pdc authdaemond: authldaplib: refuse to authenticate admin:
>
>uid=0, gid=0 (zero uid or gid not permitted)
>Jul 13 23:21:57 pdc authdaemond: authldaplib: sysusername=<null>,
>sysuserid=0,
> sysgroupid=0, homedir=/home/users/users/admin, address=admin,
>
>fullname=admin, maildir=<null>, quota=<null>, options=<null>
>
>Jul 13 23:21:57 pdc authdaemond: authldaplib: clearpasswd=<null>
>,
>passwd={CRYPT}$1$TfQor12v$CpgfPhlU7wLNdlGPu4tvf1
>Jul 13 23:21:57 pdc authdaemond: password matches successfully
>Jul 13 23:21:57 pdc authdaemond: authldap: TEMPFAIL - no more modules will
>
>be tried
>Jul 13 23:21:57 pdc imapd: LOGIN FAILED, user=admin,
>ip=[::ffff:192.168.7.31]
>Jul 13 23:21:57 pdc imapd: authentication error: Input/output error
1 Возможно, что при поиске по фильтру (uid=admin) находится две записи.
2. Покажите ldif-файл этого пользователя.
3. Попробуйте использовать в {MD5} в атрибуте userPassword
я уже приводил Ldif файл пользователя выше, двух записей быть не может,
pdc authdaemond: password matches successfully - помоему с паролем все впоряде