Всем здравствуйте!
Помогите пожалста решить след проблему...
пытаемся настроить ldap, вроде все установили и сконфигурили, но появились грабли: войти в ldapadmin невозможно, говорит что неправильное имя пользователя или пароль, хотя если войти анонимно, то все прокатывает на ура...
голову сломали как войти рутом?
спасибо.
ОС: Fedora 2007настраивал по этой ссылке:
http://www.howtoforge.com/openldap_fedora7
>[оверквотинг удален]
>Помогите пожалста решить след проблему...
>пытаемся настроить ldap, вроде все установили и сконфигурили, но появились грабли: войти
>в ldapadmin невозможно, говорит что неправильное имя пользователя или пароль, хотя
>если войти анонимно, то все прокатывает на ура...
>голову сломали как войти рутом?
>спасибо.
>ОС: Fedora 2007
>
>настраивал по этой ссылке:
>http://www.howtoforge.com/openldap_fedora7А что говорит ldapwhoami? Как вариант - оставьте rootpw незашифрованным (открытым текстом).
>А что говорит ldapwhoami? Как вариант - оставьте rootpw незашифрованным (открытым текстом).
>открытым текстом тоже самое,
а на вопрос вот что ответил мне ldap:
[root@linux ~]# ldapwhoami
SASL/DIGEST-MD5 authentication started
Please enter your password: (мой пароль рута)
ldap_sasl_interactive_bind_s: Invalid credentials (49)
additional info: SASL(-13): user not found: no secret in database
в slapd.conf добавляю строчку
rootpw 555после этого:
[root@linux openldap]# /etc/rc.d/init.d/ldap stop
Останавливается slapd: [ OK ]
[root@linux openldap]# /etc/rc.d/init.d/ldap start
Проверяются конфигурационные файлы для slapd: config file testing succeeded
[ OK ]
Запускается slapd: [ OK ]
[root@linux openldap]# ldapwhoami
SASL/DIGEST-MD5 authentication started
Please enter your password: 555
ldap_sasl_interactive_bind_s: Invalid credentials (49)
additional info: SASL(-13): user not found: no secret in databaseв чем трабла не пойму!
>[оверквотинг удален]
>
> [ OK
> ]
>[root@linux openldap]# ldapwhoami
>SASL/DIGEST-MD5 authentication started
>Please enter your password: 555
>ldap_sasl_interactive_bind_s: Invalid credentials (49)
>additional info: SASL(-13): user not found: no secret in database
>
>в чем трабла не пойму!У вас OpenLDAP авторизует пользователей через SASL. Соответственно на rootpw он внимание не обращает.
Можно либо запускать все клиентские приложения типа ldapwhoami с опцией -x (simple auth в обход SASL), либо
переместить (или переименовать) файл типа /usr/lib/sasl2/slapd.conf и перезапустить slapd.
>У вас OpenLDAP авторизует пользователей через SASL. Соответственно на rootpw он внимание
>не обращает.
>Можно либо запускать все клиентские приложения типа ldapwhoami с опцией -x (simple
>auth в обход SASL), либо
>переместить (или переименовать) файл типа /usr/lib/sasl2/slapd.conf и перезапустить slapd.Спасибо, но, /usr/lib/sasl2/slapd.conf - файл отсутствует... он в /etc/openldap/slapd.conf, но если его переименовать демон не стартует.
ldapwhoami -x
anonymous
Result: Success (0)
>>У вас OpenLDAP авторизует пользователей через SASL. Соответственно на rootpw он внимание
>>не обращает.
>>Можно либо запускать все клиентские приложения типа ldapwhoami с опцией -x (simple
>>auth в обход SASL), либо
>>переместить (или переименовать) файл типа /usr/lib/sasl2/slapd.conf и перезапустить slapd.
>
>Спасибо, но, /usr/lib/sasl2/slapd.conf - файл отсутствует... он в /etc/openldap/slapd.conf, но если его
>переименовать демон не стартует.
>Это другой файл. Он должен именно в директории с названием sasl2 находиться.
>ldapwhoami -x
>anonymous
>Result: Success (0)Ну, а теперь тоже самое, но с rootdn:
ldapwhoami -D <rootdn> -x -W
>Это другой файл. Он должен именно в директории с названием sasl2 находиться.Понял, но его все равно нету :(...
>
>>ldapwhoami -x
>>anonymous
>>Result: Success (0)
>
>Ну, а теперь тоже самое, но с rootdn:
>
>ldapwhoami -D <rootdn> -x -Wа можно подробнее, что нужно писать вместо <rootdn>
>>Это другой файл. Он должен именно в директории с названием sasl2 находиться.
>
>Понял, но его все равно нету :(...И директории sasl2 тоже? locate про неё не знает?
>>
>>>ldapwhoami -x
>>>anonymous
>>>Result: Success (0)
>>
>>Ну, а теперь тоже самое, но с rootdn:
>>
>>ldapwhoami -D <rootdn> -x -W
>
>а можно подробнее, что нужно писать вместо <rootdn>То что указано как rootdn в /etc/openldap/slapd.conf
>>Понял, но его все равно нету :(...
>
>И директории sasl2 тоже? locate про неё не знает?/usr/lib/sasl2 директория есть
пишем что указано в rootdn все ок, говорит[root@linux openldap]# ldapwhoami -D uid=root,dc=linux,dc=mpkat,dc=atyashevo -x -W
Enter LDAP Password:
dn:uid=root,dc=linux,dc=mpkat,dc=atyashevo
Result: Success (0)
но в phpldapadmin все равно говорит, что непущу!!!
а
ldapwhoami -xговорит
anonymous
Result: Success (0)
скачали новый ldap
похоже старый собран с ссл, но без простой аутентификации...
спасибо, за ответы!!!
>скачали новый ldapа толку мало :( :)
Народ подскажите плиз как всетаки настраивается аутентификация sasl в ldap'е
[root@linux sasl2]# /etc/init.d/ldap start
Проверяются конфигурационные файлы для slapd: slap_sasl_init: server init failed
slaptest: slap_init failed! [ СБОЙ ]
вот что в /usr/lib/sasl2/slapd.confinclude /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schemaallow bind_v2
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.argsdatabase bdb
suffix "dc=mpkat,dc=atyashevo"
rootdn "uid=root,dc=mpkat,dc=atyashevo"
rootpw 111
directory /var/lib/ldap# Indices to maintain for this database
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,subэто файл просто скопировал с /etc/openldap/slapd.conf
Куда копать не знаю...
и еще если не трудно объясните строчки пожалста:[root@linux sasl2]# saslauthd -a ldap -V
saslauthd[3040] :main : num_procs : 5
saslauthd[3040] :main : mech_option: NULL
saslauthd[3040] :main : run_path : /var/run/saslauthd
saslauthd[3040] :main : auth_mech : ldap
saslauthd[3040] :ipc_init : using accept lock file: /var/run/saslauthd/mux.accept
saslauthd[3040] :handle_sigchld : child exited: 3041спасибо!
>[оверквотинг удален]
> : mech_option: NULL
>saslauthd[3040] :main
> : run_path : /var/run/saslauthd
>saslauthd[3040] :main
> : auth_mech : ldap
>saslauthd[3040] :ipc_init : using accept
>lock file: /var/run/saslauthd/mux.accept
>saslauthd[3040] :handle_sigchld : child exited: 3041
>
>спасибо!saslauthd -a ldap -V
Это значит, что saslauthd проверяет простые текстовые пароли, сверяя их с каталогом ldap. Как именно он это делает должно быть написано в конфигурационном файле интересующей вас службы.
Если вы используете ldap каталог для проверки пароля для доступа к самому ldap, то вы ССЗБ. Грубо говоря, это можно сделать, но нужно проделать дырку, чтобы saslauthd мог туда залезть и взять пароли. Эта дырка может быть простой аутентификацией (т.е. не через SASL) или беспарольным доступом.
Вас также может заинтересовать такой , как Алексей Барабанов, который много пишет по русски про LDAP, в частности в журнал Системный Администратор, но не только.