https://opennet.me/openforum/vsluhforumID14/807.html Доброго времени суток всем!<br><br>Сознаюсь сразу - я новичок по форумам, редко их использую.<br><br>Ситуация обстоит так. Есть AD на базе Windows 2003 Server и есть сервера Linux (Fedora 4) и рабочии станции Linux (Novell Linux Desktop 9). Нужно настроить ldap клиента на машинах с Linux. Аутентификация не проходит, выдается ошибка (см. ниже по тексту):(<br><br>Настройки на машинах с линуксом:<br><br>файл ldap.conf<br><br>host 192.168.0.254<br>base dc=mydomen,dc=ru<br>ldap_version 3<br>binddn cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru<br>bindpw secret<br>pam_password crypt<br>конец файла<br><br><br>файл nsswitch.conf<br><br>passwd: files ldap<br>shadow: files ldap<br>group: files ldap<br>конец файла<br><br>Пользователь browser точно существует и имеет права администратора.<br><br>смотрю запись в логе при загрузки системы, там вижу:<br>...<br>pam_ldap: error trying to bind (Invalid credentials)<br>...<br><br>Пытаюсь воспользоваться утилитой ldapsearch:<br><br>ldapsearch -Hldap://srv.mydomen.ru -b "dc=mydomen,dc=ru" "(uid=*)" -x -W -D "cn=browser,ou=ManDep,ou=Users,dc=mydome https://opennet.me/openforum/vsluhforumID14/807.html#10 Thu, 17 Dec 2009 11:47:15 GMT http://www.petri.co.il/anonymous_ldap_operations_in_windows_2003_ad.htm<br> https://opennet.me/openforum/vsluhforumID14/807.html#9 Thu, 29 Jun 2006 18:59:06 GMT &gt;&gt;&gt;[another quote] <br>&gt;&gt;&gt;&gt;&gt;Похоже нужно -D"browser@MYDOMEN.RU" <br>&gt;&gt;&gt;&gt;Попробовал, утилита ldapsearch заработала!<br>&gt;&gt;&gt;[] <br>&gt;&gt;&gt;если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber) <br>&gt;&gt;&gt;что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a <br>&gt;&gt;&gt;winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее <br>&gt;&gt;&gt;надежно и безопасно. <br>&gt;&gt;<br>&gt;&gt;Что-то я не совсем понял пост?! "Лажа" - это про что? <br>&gt;там было сказано "ИМХО так не выйдет". Если ldapsearch -D"browser@MYDOMEN.RU" вышло, <br>&gt;то и через pam-ldap выйдет однозначно. они используют одни и те <br>&gt;же клиентские библиотеки. <br><br>Вот как! Ну это меня радует, а то после того, как мне сказали, что надо юзать самбу, я не стал дальше копаться, т.к. это не было уж столь необходимо. Думаю, что на досуге надо все-таки посмотреть.<br> https://opennet.me/openforum/vsluhforumID14/807.html#8 Thu, 29 Jun 2006 14:32:50 GMT &gt;&gt;[another quote] <br>&gt;&gt;&gt;&gt;Похоже нужно -D"browser@MYDOMEN.RU" <br>&gt;&gt;&gt;Попробовал, утилита ldapsearch заработала!<br>&gt;&gt;[] <br>&gt;&gt;если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber) <br>&gt;&gt;что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a <br>&gt;&gt;winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее <br>&gt;&gt;надежно и безопасно. <br>&gt;<br>&gt;Что-то я не совсем понял пост?! "Лажа" - это про что? <br>там было сказано "ИМХО так не выйдет". Если ldapsearch -D"browser@MYDOMEN.RU" вышло, то и через pam-ldap выйдет однозначно. они используют одни и те же клиентские библиотеки.<br> https://opennet.me/openforum/vsluhforumID14/807.html#7 Thu, 29 Jun 2006 10:52:55 GMT &gt;[another quote] <br>&gt;&gt;&gt;Похоже нужно -D"browser@MYDOMEN.RU" <br>&gt;&gt;Попробовал, утилита ldapsearch заработала!<br>&gt;[] <br>&gt;если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber) <br>&gt;что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a <br>&gt;winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее <br>&gt;надежно и безопасно. <br><br>Что-то я не совсем понял пост?! "Лажа" - это про что? https://opennet.me/openforum/vsluhforumID14/807.html#6 Thu, 29 Jun 2006 10:34:15 GMT &gt;&gt;Хай! <br>&gt;&gt;<br>&gt;&gt;Попробовал, утилита ldapsearch заработала! СПС!!! <br>&gt;&gt;<br>&gt;&gt;буду разбираться дальше:) <br>&gt;&gt;<br>&gt;&gt;А есть ли где-нибудь ваще по этой теме документация - "Включение Linux <br>&gt;&gt;в домен AD"? Где можно про это почитать? <br>&gt;&gt;<br>&gt;&gt;И еще, я так понимаю, что в конфигурационниках надо заменить также binddn? <br>&gt;&gt;<br>&gt;<br>&gt;Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при <br>&gt;этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а <br>&gt;не Windows LDAP. <br>&gt;ИМХО так не выйдет, надо через winbind. У меня именно так и <br>&gt;сделано. А почитать нужно доку именно по SAMBA. <br><br>[another quote]<br>&gt;&gt;Похоже нужно -D"browser@MYDOMEN.RU" <br>&gt;Попробовал, утилита ldapsearch заработала!<br>[]<br>если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber) что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее надежно и безопасно.<br> https://opennet.me/openforum/vsluhforumID14/807.html#5 Mon, 26 Jun 2006 09:33:39 GMT &gt;Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя &gt;этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а <br>&gt;не Windows LDAP. <br>&gt;ИМХО так не выйдет, надо через winbind. У меня именно так и <br>&gt;сделано. А почитать нужно доку именно по SAMBA. <br><br>Ээээ...означает ли это что попытка использования ЛЮБОГО ldap сервера отличного от openLDAP приведет к неудаче ?! На сайте PADL утверждается "...authenticate against LDAP directories". Возможно ldap от MS не соответствует RFC, но есть же другие. Например ldap от Lotus Domin...<br><br><br> https://opennet.me/openforum/vsluhforumID14/807.html#4 Fri, 07 Apr 2006 05:25:59 GMT &gt;&gt;Хай! <br>&gt;&gt;<br>&gt;&gt;Попробовал, утилита ldapsearch заработала! СПС!!! <br>&gt;&gt;<br>&gt;&gt;буду разбираться дальше:) <br>&gt;&gt;<br>&gt;&gt;А есть ли где-нибудь ваще по этой теме документация - "Включение Linux <br>&gt;&gt;в домен AD"? Где можно про это почитать? <br>&gt;&gt;<br>&gt;&gt;И еще, я так понимаю, что в конфигурационниках надо заменить также binddn? <br>&gt;&gt;<br>&gt;<br>&gt;Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при <br>&gt;этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а <br>&gt;не Windows LDAP. <br>&gt;ИМХО так не выйдет, надо через winbind. У меня именно так и <br>&gt;сделано. А почитать нужно доку именно по SAMBA. <br><br>Да, именно это сделать и надо. Я подозревал, что не все в порядке с pam_ldap:). А глобальная задача стоит такая - перевести полностью сеть на платформу Linux. Ну и естественно хотелось использовать pam_ldap, чтобы потом перейти на openldap вместо win ldap.<br><br>Ладно, спасибо за информацию, буду читать, думать и пробовать:)<br> https://opennet.me/openforum/vsluhforumID14/807.html#3 Fri, 07 Apr 2006 02:22:18 GMT &gt;Хай! <br>&gt;<br>&gt;Попробовал, утилита ldapsearch заработала! СПС!!! <br>&gt;<br>&gt;буду разбираться дальше:) <br>&gt;<br>&gt;А есть ли где-нибудь ваще по этой теме документация - "Включение Linux <br>&gt;в домен AD"? Где можно про это почитать? <br>&gt;<br>&gt;И еще, я так понимаю, что в конфигурационниках надо заменить также binddn? <br>&gt;<br><br>Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а не Windows LDAP.<br>ИМХО так не выйдет, надо через winbind. У меня именно так и сделано. А почитать нужно доку именно по SAMBA.<br> https://opennet.me/openforum/vsluhforumID14/807.html#2 Thu, 06 Apr 2006 12:49:31 GMT &gt;&gt;ldapsearch -Hldap://srv.mydomen.ru -b "dc=mydomen,dc=ru" "(uid=*)" -x -W -D "cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru" <br>&gt;&gt;Enter LDAP Password: <br>&gt;&gt;ldap_bind: Invalid credentials (49) <br>&gt;&gt; additional info: 80090308: <br>&gt;&gt;LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece <br>&gt;&gt;<br>&gt;&gt;Я уже всю голову сломал, глаза затупил в поисках инфы в инете, <br>&gt;&gt;не пойму где у меня касяк. Объясните мне, что я делаю <br>&gt;&gt;не так, что я совсем не делаю, а надо делать и <br>&gt;&gt;что не надо делать. Если нужна какая-нибудь дополнительная информация, спрашивайте, а <br>&gt;&gt;то я даже не знаю что еще указать. <br>&gt;<br>&gt;Похоже нужно -D"browser@MYDOMEN.RU" <br><br>Хай!<br><br>Попробовал, утилита ldapsearch заработала! СПС!!!<br><br>буду разбираться дальше:)<br><br>А есть ли где-нибудь ваще по этой теме документация - "Включение Linux в домен AD"? Где можно про это почитать?<br><br>И еще, я так понимаю, что в конфигурационниках надо заменить также binddn?<br>