Доброго времени суток всем!Сознаюсь сразу - я новичок по форумам, редко их использую.
Ситуация обстоит так. Есть AD на базе Windows 2003 Server и есть сервера Linux (Fedora 4) и рабочии станции Linux (Novell Linux Desktop 9). Нужно настроить ldap клиента на машинах с Linux. Аутентификация не проходит, выдается ошибка (см. ниже по тексту):(
Настройки на машинах с линуксом:
файл ldap.conf
host 192.168.0.254
base dc=mydomen,dc=ru
ldap_version 3
binddn cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru
bindpw secret
pam_password crypt
конец файла
файл nsswitch.confpasswd: files ldap
shadow: files ldap
group: files ldap
конец файлаПользователь browser точно существует и имеет права администратора.
смотрю запись в логе при загрузки системы, там вижу:
...
pam_ldap: error trying to bind (Invalid credentials)
...Пытаюсь воспользоваться утилитой ldapsearch:
ldapsearch -Hldap://srv.mydomen.ru -b "dc=mydomen,dc=ru" "(uid=*)" -x -W -D "cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru"
Enter LDAP Password:
ldap_bind: Invalid credentials (49)
additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, veceЯ уже всю голову сломал, глаза затупил в поисках инфы в инете, не пойму где у меня касяк. Объясните мне, что я делаю не так, что я совсем не делаю, а надо делать и что не надо делать. Если нужна какая-нибудь дополнительная информация, спрашивайте, а то я даже не знаю что еще указать.
>Доброго времени суток всем!
>
>Сознаюсь сразу - я новичок по форумам, редко их использую.
>
>Ситуация обстоит так. Есть AD на базе Windows 2003 Server и есть
>сервера Linux (Fedora 4) и рабочии станции Linux (Novell Linux Desktop
>9). Нужно настроить ldap клиента на машинах с Linux. Аутентификация не
>проходит, выдается ошибка (см. ниже по тексту):(
>
>Настройки на машинах с линуксом:
>
>файл ldap.conf
>
>host 192.168.0.254
>base dc=mydomen,dc=ru
>ldap_version 3
>binddn cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru
>bindpw secret
>pam_password crypt
>конец файла
>
>
>файл nsswitch.conf
>
>passwd: files ldap
>shadow: files ldap
>group: files ldap
>конец файла
>
>Пользователь browser точно существует и имеет права администратора.
>
>смотрю запись в логе при загрузки системы, там вижу:
>...
>pam_ldap: error trying to bind (Invalid credentials)
>...
>
>Пытаюсь воспользоваться утилитой ldapsearch:
>
>ldapsearch -Hldap://srv.mydomen.ru -b "dc=mydomen,dc=ru" "(uid=*)" -x -W -D "cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru"
>Enter LDAP Password:
>ldap_bind: Invalid credentials (49)
> additional info: 80090308:
>LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece
>
>Я уже всю голову сломал, глаза затупил в поисках инфы в инете,
>не пойму где у меня касяк. Объясните мне, что я делаю
>не так, что я совсем не делаю, а надо делать и
>что не надо делать. Если нужна какая-нибудь дополнительная информация, спрашивайте, а
>то я даже не знаю что еще указать.Похоже нужно -D"browser@MYDOMEN.RU"
>>ldapsearch -Hldap://srv.mydomen.ru -b "dc=mydomen,dc=ru" "(uid=*)" -x -W -D "cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru"
>>Enter LDAP Password:
>>ldap_bind: Invalid credentials (49)
>> additional info: 80090308:
>>LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece
>>
>>Я уже всю голову сломал, глаза затупил в поисках инфы в инете,
>>не пойму где у меня касяк. Объясните мне, что я делаю
>>не так, что я совсем не делаю, а надо делать и
>>что не надо делать. Если нужна какая-нибудь дополнительная информация, спрашивайте, а
>>то я даже не знаю что еще указать.
>
>Похоже нужно -D"browser@MYDOMEN.RU"Хай!
Попробовал, утилита ldapsearch заработала! СПС!!!
буду разбираться дальше:)
А есть ли где-нибудь ваще по этой теме документация - "Включение Linux в домен AD"? Где можно про это почитать?
И еще, я так понимаю, что в конфигурационниках надо заменить также binddn?
>Хай!
>
>Попробовал, утилита ldapsearch заработала! СПС!!!
>
>буду разбираться дальше:)
>
>А есть ли где-нибудь ваще по этой теме документация - "Включение Linux
>в домен AD"? Где можно про это почитать?
>
>И еще, я так понимаю, что в конфигурационниках надо заменить также binddn?
>Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а не Windows LDAP.
ИМХО так не выйдет, надо через winbind. У меня именно так и сделано. А почитать нужно доку именно по SAMBA.
>>Хай!
>>
>>Попробовал, утилита ldapsearch заработала! СПС!!!
>>
>>буду разбираться дальше:)
>>
>>А есть ли где-нибудь ваще по этой теме документация - "Включение Linux
>>в домен AD"? Где можно про это почитать?
>>
>>И еще, я так понимаю, что в конфигурационниках надо заменить также binddn?
>>
>
>Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при
>этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а
>не Windows LDAP.
>ИМХО так не выйдет, надо через winbind. У меня именно так и
>сделано. А почитать нужно доку именно по SAMBA.Да, именно это сделать и надо. Я подозревал, что не все в порядке с pam_ldap:). А глобальная задача стоит такая - перевести полностью сеть на платформу Linux. Ну и естественно хотелось использовать pam_ldap, чтобы потом перейти на openldap вместо win ldap.
Ладно, спасибо за информацию, буду читать, думать и пробовать:)
>Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя >этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а
>не Windows LDAP.
>ИМХО так не выйдет, надо через winbind. У меня именно так и
>сделано. А почитать нужно доку именно по SAMBA.Ээээ...означает ли это что попытка использования ЛЮБОГО ldap сервера отличного от openLDAP приведет к неудаче ?! На сайте PADL утверждается "...authenticate against LDAP directories". Возможно ldap от MS не соответствует RFC, но есть же другие. Например ldap от Lotus Domin...
>>Хай!
>>
>>Попробовал, утилита ldapsearch заработала! СПС!!!
>>
>>буду разбираться дальше:)
>>
>>А есть ли где-нибудь ваще по этой теме документация - "Включение Linux
>>в домен AD"? Где можно про это почитать?
>>
>>И еще, я так понимаю, что в конфигурационниках надо заменить также binddn?
>>
>
>Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при
>этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а
>не Windows LDAP.
>ИМХО так не выйдет, надо через winbind. У меня именно так и
>сделано. А почитать нужно доку именно по SAMBA.[another quote]
>>Похоже нужно -D"browser@MYDOMEN.RU"
>Попробовал, утилита ldapsearch заработала!
[]
если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber) что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее надежно и безопасно.
>[another quote]
>>>Похоже нужно -D"browser@MYDOMEN.RU"
>>Попробовал, утилита ldapsearch заработала!
>[]
>если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber)
>что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a
>winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее
>надежно и безопасно.Что-то я не совсем понял пост?! "Лажа" - это про что?
>>[another quote]
>>>>Похоже нужно -D"browser@MYDOMEN.RU"
>>>Попробовал, утилита ldapsearch заработала!
>>[]
>>если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber)
>>что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a
>>winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее
>>надежно и безопасно.
>
>Что-то я не совсем понял пост?! "Лажа" - это про что?
там было сказано "ИМХО так не выйдет". Если ldapsearch -D"browser@MYDOMEN.RU" вышло, то и через pam-ldap выйдет однозначно. они используют одни и те же клиентские библиотеки.
>>>[another quote]
>>>>>Похоже нужно -D"browser@MYDOMEN.RU"
>>>>Попробовал, утилита ldapsearch заработала!
>>>[]
>>>если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber)
>>>что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a
>>>winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее
>>>надежно и безопасно.
>>
>>Что-то я не совсем понял пост?! "Лажа" - это про что?
>там было сказано "ИМХО так не выйдет". Если ldapsearch -D"browser@MYDOMEN.RU" вышло,
>то и через pam-ldap выйдет однозначно. они используют одни и те
>же клиентские библиотеки.Вот как! Ну это меня радует, а то после того, как мне сказали, что надо юзать самбу, я не стал дальше копаться, т.к. это не было уж столь необходимо. Думаю, что на досуге надо все-таки посмотреть.
http://www.petri.co.il/anonymous_ldap_operations_in_windows_...