The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Настройка клиента ldap для аутентификации в AD"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение [ Отслеживать ]

"Настройка клиента ldap для аутентификации в AD"  +/
Сообщение от fate email(ok) on 30-Мрт-06, 16:53 
Доброго времени суток всем!

Сознаюсь сразу - я новичок по форумам, редко их использую.

Ситуация обстоит так. Есть AD на базе Windows 2003 Server и есть сервера Linux (Fedora 4) и рабочии станции Linux (Novell Linux Desktop 9). Нужно настроить ldap клиента на машинах с Linux. Аутентификация не проходит, выдается ошибка (см. ниже по тексту):(

Настройки на машинах с линуксом:

файл ldap.conf

host 192.168.0.254
base dc=mydomen,dc=ru
ldap_version 3
binddn cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru
bindpw secret
pam_password crypt
конец файла


файл nsswitch.conf

passwd: files ldap
shadow: files ldap
group:  files ldap
конец файла

Пользователь browser точно существует и имеет права администратора.

смотрю запись в логе при загрузки системы, там вижу:
...
pam_ldap: error trying to bind (Invalid credentials)
...

Пытаюсь воспользоваться утилитой ldapsearch:

ldapsearch -Hldap://srv.mydomen.ru -b "dc=mydomen,dc=ru" "(uid=*)" -x -W -D "cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru"
Enter LDAP Password:
ldap_bind: Invalid credentials (49)
         additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece

Я уже всю голову сломал, глаза затупил в поисках инфы в инете, не пойму где у меня касяк. Объясните мне, что я делаю не так, что я совсем не делаю, а надо делать и что не надо делать. Если нужна какая-нибудь дополнительная информация, спрашивайте, а то я даже не знаю что еще указать.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка клиента ldap для аутентификации в AD"  +/
Сообщение от vlad (??) on 06-Апр-06, 12:18 
>Доброго времени суток всем!
>
>Сознаюсь сразу - я новичок по форумам, редко их использую.
>
>Ситуация обстоит так. Есть AD на базе Windows 2003 Server и есть
>сервера Linux (Fedora 4) и рабочии станции Linux (Novell Linux Desktop
>9). Нужно настроить ldap клиента на машинах с Linux. Аутентификация не
>проходит, выдается ошибка (см. ниже по тексту):(
>
>Настройки на машинах с линуксом:
>
>файл ldap.conf
>
>host 192.168.0.254
>base dc=mydomen,dc=ru
>ldap_version 3
>binddn cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru
>bindpw secret
>pam_password crypt
>конец файла
>
>
>файл nsswitch.conf
>
>passwd: files ldap
>shadow: files ldap
>group:  files ldap
>конец файла
>
>Пользователь browser точно существует и имеет права администратора.
>
>смотрю запись в логе при загрузки системы, там вижу:
>...
>pam_ldap: error trying to bind (Invalid credentials)
>...
>
>Пытаюсь воспользоваться утилитой ldapsearch:
>
>ldapsearch -Hldap://srv.mydomen.ru -b "dc=mydomen,dc=ru" "(uid=*)" -x -W -D "cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru"
>Enter LDAP Password:
>ldap_bind: Invalid credentials (49)
>         additional info: 80090308:
>LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece
>
>Я уже всю голову сломал, глаза затупил в поисках инфы в инете,
>не пойму где у меня касяк. Объясните мне, что я делаю
>не так, что я совсем не делаю, а надо делать и
>что не надо делать. Если нужна какая-нибудь дополнительная информация, спрашивайте, а
>то я даже не знаю что еще указать.

Похоже нужно -D"browser@MYDOMEN.RU"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Настройка клиента ldap для аутентификации в AD"  +/
Сообщение от fate email(??) on 06-Апр-06, 16:49 
>>ldapsearch -Hldap://srv.mydomen.ru -b "dc=mydomen,dc=ru" "(uid=*)" -x -W -D "cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru"
>>Enter LDAP Password:
>>ldap_bind: Invalid credentials (49)
>>         additional info: 80090308:
>>LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece
>>
>>Я уже всю голову сломал, глаза затупил в поисках инфы в инете,
>>не пойму где у меня касяк. Объясните мне, что я делаю
>>не так, что я совсем не делаю, а надо делать и
>>что не надо делать. Если нужна какая-нибудь дополнительная информация, спрашивайте, а
>>то я даже не знаю что еще указать.
>
>Похоже нужно -D"browser@MYDOMEN.RU"

Хай!

Попробовал, утилита ldapsearch заработала! СПС!!!

буду разбираться дальше:)

А есть ли где-нибудь ваще по этой теме документация - "Включение Linux в  домен AD"? Где можно про это почитать?

И еще, я так понимаю, что в конфигурационниках надо заменить также binddn?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Настройка клиента ldap для аутентификации в AD"  +/
Сообщение от vlad (??) on 07-Апр-06, 06:22 
>Хай!
>
>Попробовал, утилита ldapsearch заработала! СПС!!!
>
>буду разбираться дальше:)
>
>А есть ли где-нибудь ваще по этой теме документация - "Включение Linux
>в  домен AD"? Где можно про это почитать?
>
>И еще, я так понимаю, что в конфигурационниках надо заменить также binddn?
>

Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а не Windows LDAP.
ИМХО так не выйдет, надо через winbind. У меня именно так и сделано. А почитать нужно доку именно по SAMBA.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Настройка клиента ldap для аутентификации в AD"  +/
Сообщение от fate email(??) on 07-Апр-06, 09:25 
>>Хай!
>>
>>Попробовал, утилита ldapsearch заработала! СПС!!!
>>
>>буду разбираться дальше:)
>>
>>А есть ли где-нибудь ваще по этой теме документация - "Включение Linux
>>в  домен AD"? Где можно про это почитать?
>>
>>И еще, я так понимаю, что в конфигурационниках надо заменить также binddn?
>>
>
>Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при
>этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а
>не Windows LDAP.
>ИМХО так не выйдет, надо через winbind. У меня именно так и
>сделано. А почитать нужно доку именно по SAMBA.

Да, именно это сделать и надо. Я подозревал, что не все в порядке с pam_ldap:). А глобальная задача стоит такая - перевести полностью сеть на платформу Linux. Ну и естественно хотелось использовать pam_ldap, чтобы потом перейти на openldap вместо win ldap.

Ладно, спасибо за информацию, буду читать, думать и пробовать:)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Настройка клиента ldap для аутентификации в AD"  +/
Сообщение от Shadow email(??) on 26-Июн-06, 13:33 
>Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя >этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а
>не Windows LDAP.
>ИМХО так не выйдет, надо через winbind. У меня именно так и
>сделано. А почитать нужно доку именно по SAMBA.

Ээээ...означает ли это что попытка использования ЛЮБОГО ldap сервера отличного от openLDAP приведет к неудаче ?! На сайте PADL утверждается "...authenticate against LDAP directories". Возможно ldap от MS не соответствует RFC, но есть же другие. Например ldap от Lotus Domin...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Настройка клиента ldap для аутентификации в AD"  +/
Сообщение от perece on 29-Июн-06, 14:34 
>>Хай!
>>
>>Попробовал, утилита ldapsearch заработала! СПС!!!
>>
>>буду разбираться дальше:)
>>
>>А есть ли где-нибудь ваще по этой теме документация - "Включение Linux
>>в  домен AD"? Где можно про это почитать?
>>
>>И еще, я так понимаю, что в конфигурационниках надо заменить также binddn?
>>
>
>Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при
>этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а
>не Windows LDAP.
>ИМХО так не выйдет, надо через winbind. У меня именно так и
>сделано. А почитать нужно доку именно по SAMBA.

[another quote]
>>Похоже нужно -D"browser@MYDOMEN.RU"
>Попробовал, утилита ldapsearch заработала!
[]
если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber) что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее надежно и безопасно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Настройка клиента ldap для аутентификации в AD"  +/
Сообщение от fate email(ok) on 29-Июн-06, 14:52 
>[another quote]
>>>Похоже нужно -D"browser@MYDOMEN.RU"
>>Попробовал, утилита ldapsearch заработала!
>[]
>если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber)
>что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a
>winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее
>надежно и безопасно.

Что-то я не совсем понял пост?! "Лажа" - это про что?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Настройка клиента ldap для аутентификации в AD"  +/
Сообщение от perece on 29-Июн-06, 18:32 
>>[another quote]
>>>>Похоже нужно -D"browser@MYDOMEN.RU"
>>>Попробовал, утилита ldapsearch заработала!
>>[]
>>если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber)
>>что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a
>>winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее
>>надежно и безопасно.
>
>Что-то я не совсем понял пост?! "Лажа" - это про что?
там было сказано "ИМХО так не выйдет". Если ldapsearch -D"browser@MYDOMEN.RU" вышло,  то и через pam-ldap выйдет однозначно. они используют одни и те же клиентские библиотеки.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Настройка клиента ldap для аутентификации в AD"  +/
Сообщение от fate email(??) on 29-Июн-06, 22:59 
>>>[another quote]
>>>>>Похоже нужно -D"browser@MYDOMEN.RU"
>>>>Попробовал, утилита ldapsearch заработала!
>>>[]
>>>если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber)
>>>что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a
>>>winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее
>>>надежно и безопасно.
>>
>>Что-то я не совсем понял пост?! "Лажа" - это про что?
>там было сказано "ИМХО так не выйдет". Если ldapsearch -D"browser@MYDOMEN.RU" вышло,  
>то и через pam-ldap выйдет однозначно. они используют одни и те
>же клиентские библиотеки.

Вот как! Ну это меня радует, а то после того, как мне сказали, что надо юзать самбу, я не стал дальше копаться, т.к. это не было уж столь необходимо. Думаю, что на досуге надо все-таки посмотреть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Настройка клиента ldap для аутентификации в AD"  +/
Сообщение от Евгений (??) on 17-Дек-09, 14:47 
http://www.petri.co.il/anonymous_ldap_operations_in_windows_...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру