https://www.opennet.me/openforum/vsluhforumID1/95156.html Доброго времени!<br>Хочу попросить сообщество помочь разобраться.<br><br>Система freeBSD 8.2 PDC Samba3.6 + LDAP, TLS.<br><br>Не работает аутентификация ч-з LDAP<br>===============================================================<br>pkg_info &#124; grep _ldap<br>nss_ldap-1.265_7 RFC 2307 NSS module<br>pam_ldap-1.8.6_2 A pam module for authenticating with LDAP<br>==============================================================<br><br>Конфиги<br><br>rc.conf<br><br>.......<br>#enable Samba<br>samba_enable="YES"<br>winbindd_enable=YES<br><br>#slapd<br>slapd_enable="YES"<br>slapd_flags='-h "ldaps:/// ldapi:///var/run/openldap/ldapi/ ldaps://localhost/ ldaps://192.168.0.4/"'<br><br>..............<br>===================================================================<br>slapd.conf<br><br>include /usr/local/etc/openldap/schema/core.schema<br>include /usr/local/etc/openldap/schema/cosine.schema<br>include /usr/local/etc/openldap/schema/inetorgperson.schema<br>include /usr/local/etc/openldap/schema/misc.schema<br>include /usr/local/etc/open https://www.opennet.me/openforum/vsluhforumID1/95156.html#10 Mon, 31 Mar 2014 10:00:04 GMT &gt; Не ребята, в дебри лезем. Проблема с сертификатами. СА с-кат должен быть <br>&gt; отдельным.....<br>&gt; http://www.freebsd.org/doc/en/articles/ldap-auth/article.html <br><br>И ещё кое-что. Может кому пригодится<br><br>Вот причина sshd_config : PermitRootLogin no<br><br>чёт я тогда тормознул. Все разрешённые принципалы (кроме системных и root) ходят по ssh без проблем, т.е. всё ОК!<br>Учётки юзеров, принтеров, хостовые сложены только в LDAP. Анонимный доступ к LDAP отключен, аут-кация только ч-з PAM. <br>Всё секьюрно и надёжно, а-ля BSD. <br><br> <br><br><br> https://www.opennet.me/openforum/vsluhforumID1/95156.html#9 Tue, 05 Nov 2013 11:15:28 GMT &gt;&gt; казалось-бы при чём тут ssh? я надеюзь это понятно что к ldap'у <br>&gt;&gt; он отношение если и имеет то сильно опосредованное <br>&gt; .... настраивается аутентификация c базой в LDAP, в том числе и ч-з <br>&gt; ssh <br><br>именно -- аутернификачия/авторизация , но при чём тут 22 порт? ldap на 22 порту висит?<br> https://www.opennet.me/openforum/vsluhforumID1/95156.html#8 Tue, 05 Nov 2013 10:44:55 GMT <br>&gt; казалось-бы при чём тут ssh? я надеюзь это понятно что к ldap'у <br>&gt; он отношение если и имеет то сильно опосредованное <br><br>.... настраивается аутентификация c базой в LDAP, в том числе и ч-з ssh<br><br> https://www.opennet.me/openforum/vsluhforumID1/95156.html#7 Tue, 05 Nov 2013 10:41:51 GMT Не ребята, в дебри лезем. Проблема с сертификатами. СА с-кат должен быть отдельным.....<br>http://www.freebsd.org/doc/en/articles/ldap-auth/article.html<br> https://www.opennet.me/openforum/vsluhforumID1/95156.html#6 Tue, 05 Nov 2013 09:54:56 GMT &gt;[оверквотинг удален]<br>&gt; proto TCP (6), length 92) <br>&gt; sim.smbdomain.local.1043 &gt; dn.smbdomain.local.ssh: Flags [P.], seq 364:416, ack <br>&gt; 417, win 64547, length 52 <br>&gt; 06:37:31.633083 IP (tos 0x0, ttl 128, id 2085, offset 0, flags [DF], <br>&gt; proto TCP (6), length 40) <br>&gt; sim.smbdomain.local.1043 &gt; dn.smbdomain.local.ssh: Flags [.], cksum 0x59e3 (correct), <br>&gt; seq 416, ack 469, win 64495, length 0 <br>&gt; 06:37:31.886260 IP (tos 0x0, ttl 128, id 2086, offset 0, flags [DF], <br>&gt; proto TCP (6), length 92) <br>&gt; как видим, всё только в одну сторону.<br><br>казалось-бы при чём тут ssh? я надеюзь это понятно что к ldap'у он отношение если и имеет то сильно опосредованное<br><br>&gt; И телнет: <br>&gt; telnet&gt; auth status <br>&gt; Authentication enabled <br>&gt; KERBEROS_V5: enabled <br>&gt; SRA: enabled <br>&gt; telnet&gt; auth enable SRA <br><br>это что? ldap и telnet с krb5?<br> https://www.opennet.me/openforum/vsluhforumID1/95156.html#5 Tue, 05 Nov 2013 09:47:14 GMT &gt; [b]Can't contact LDAP server[/b] - ошибка явно говорит о проблеме конекта, например <br>&gt; мешает firewall<br><br>Если что-то и не пускает, то только не фаервол. Вся проблема в настройке клиента, а именно nss_ldap. Конфиг приведён выше. Только дело явно не в конфиге. (.... но в /dev/hands видимо....) какие есть методы для тестирования и настройки nss_ldap? <br><br>Вот что вижу ч-з tcpdump<br>ssh 192.168.0.4 -l root<br><br>06:37:25.522640 IP (tos 0x0, ttl 128, id 2068, offset 0, flags [DF], proto TCP (6), length 40)<br> sim.smbdomain.local.1044 &gt; dn.smbdomain.local.ssh: Flags [.], cksum 0xad42 (correct), seq 450067054, ack 2079354299, win 65059, length 0<br>06:37:25.522957 IP (tos 0x0, ttl 128, id 2069, offset 0, flags [DF], proto TCP (6), length 40)<br> sim.smbdomain.local.1044 &gt; dn.smbdomain.local.ssh: Flags [.], cksum 0xad42 (correct), seq 0, ack 169, win 64891, length 0<br>06:37:27.717213 IP (tos 0x0, ttl 128, id 2070, offset 0, flags [DF], proto TCP (6), length 92)<br> sim.smbdomain.local.1043 &gt; dn.smbdomain.local.ssh: F https://www.opennet.me/openforum/vsluhforumID1/95156.html#4 Mon, 04 Nov 2013 08:24:48 GMT &gt;&gt;&gt; Nov 2 12:22:23 dn slapd[9169]: nss_ldap: [b]failed to bind to LDAP server ldaps://192.168.0.4/: Can't contact LDAP server[/b] <br>&gt;&gt;&gt; Nov 2 12:22:23 dn slapd[9169]: nss_ldap: [b]could not search LDAP server - Server is unavailable[/b] <br>&gt;&gt; какое из слов вам перевести?<br>&gt; Написанное очевидно. "....Понятно, что проблема в nss_ldap + Bind " <br>&gt; Но ? в том, какова причина и что предпринять....<br><br>[b]Can't contact LDAP server[/b] - ошибка явно говорит о проблеме конекта, например мешает firewall<br> https://www.opennet.me/openforum/vsluhforumID1/95156.html#3 Mon, 04 Nov 2013 06:52:01 GMT &gt;&gt;&gt; Nov 2 12:22:23 dn slapd[9169]: nss_ldap: [b]failed to bind to LDAP server ldaps://192.168.0.4/: Can't contact LDAP server[/b] <br>&gt;&gt;&gt; Nov 2 12:22:23 dn slapd[9169]: nss_ldap: [b]could not search LDAP server - Server is unavailable[/b] <br>&gt;&gt; какое из слов вам перевести?<br>&gt; Написанное очевидно. "....Понятно, что проблема в nss_ldap + Bind " <br>&gt; Но ? в том, какова причина и что предпринять....<br><br>не умеете читать -- воспользуйтесь переводчиком<br><br>telnet что скажет, tcpdump там?<br> https://www.opennet.me/openforum/vsluhforumID1/95156.html#2 Mon, 04 Nov 2013 05:47:57 GMT &gt;&gt; Nov 2 12:22:23 dn slapd[9169]: nss_ldap: [b]failed to bind to LDAP server ldaps://192.168.0.4/: Can't contact LDAP server[/b] <br>&gt;&gt; Nov 2 12:22:23 dn slapd[9169]: nss_ldap: [b]could not search LDAP server - Server is unavailable[/b] <br>&gt; какое из слов вам перевести?<br><br>Написанное очевидно. "....Понятно, что проблема в nss_ldap + Bind " <br>Но ? в том, какова причина и что предпринять.... <br><br><br><br><br><br>