From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <serj@mk.kp.km.ua>
Message-ID: <3D9456B5.9070706@mk.kp.km.ua>
Date: Fri, 27 Sep 2002 16:01:41 +0300
From: sergey <serj@mk.kp.km.ua>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.0.0) Gecko/20020624
X-Accept-Language: ru, en-us, en
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] =?KOI8-R?Q?=F0=CF=CC=D8=DA=CF=D7=C1=D4=C5=CC=C9_=D7?=
 =?KOI8-R?Q?_LDAP?=
References: <E17rfqP-0003Qt-00@f1.mail.ru>
X-Enigmail-Version: 0.62.1.0
X-Enigmail-Supports: pgp-inline, pgp-mime
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.13
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/3D9456B5.9070706@mk.kp.km.ua/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Тарас Абламский пишет:

|Здравствуйте Все!
|
|Такое дело:
|
|Хочу настроить авторизацию пользователей через LDAP.
|Уже есть работающий LDAP сервер, толпа народу в ou=People.
|Пользователи могут входить на разные машины по ssh, ftp, login etc.
|Вроде все работает. (спасибо ALM admin guide, OpenLDAP admin guide, etc)
|
|Но.
|
|Насколько я понял useradd, userdel, usermod, groupadd, etc
|работать с LDAP не будут.

smbldap-tools на http://samba.IDEALX.org/ - подкорректировать
smbldap_conf.pm, spec - на предмет путей, всяких dn=,cn=,dc= ... - по
умолчанию, smbldap-useradd.pl (напутано с группами)

|
|passwd работает, хотя это не совсем хорошо с точки зрения безопасности.
|
|Вопрос такой:
|
|Есть ли аналоги user*, group*, newusers etc., которые работают с LDAP
базой?
|
|Или это надо все писать самому?
|
|Посмотрел на webmin от Mandrake, что-то не очень, слишком много всего в
куче, а мне нужен лишь один LDAP users manager.

syslog.conf:
local4.*                -/var/log/ldap/slapd.log

ln -s /etc/openldap/ldap.conf /etc/ldap.conf

/etc/openldap/ldap.conf:
host    127.0.0.1
base    o=mycompany,c=ua
ssl     no
pam_password    md5
rootbinddn
cn=admin,o=mycompany,c=ua                                                                                                                         
 
 
#port 389
#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
#pam_filter objectclass=posixAccount
pam_filter objectclass=account
pam_login_attribute=uid
pam_template_login_attribute uid
pam_template_login
nobody                                                                                                                                   
 
 
nss_base_passwd ou=Peoples,o=mycompany,c=ua?one
nss_base_shadow ou=Peoples,o=mycompany,c=ua?one
nss_base_group  ou=Groups,o=mycompany,c=ua?one


/etc/openldap/slapв.conf:
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include
/etc/openldap/schema/samba.schema                                                                                                                   
 
 
pidfile         /var/run/slapd.pid
argsfile        /var/run/slapd.args
access to attrs=userPassword
by dn="cn=admin,o=mycompany,c=ua" write
by self write
by anonymous auth
by * none
access to * by * read
#    by self write
#    by users read
#    by anonymous auth
database        ldbm
suffix          "o=meatkomb,c=ua"
rootdn          "cn=admin,o=mycompany,c=ua"
password-hash {MD5}
rootpw  {MD5}Xr4ilOzQ4Pq123op0qbuaQ==
directory       /var/lib/ldap/bases
#loglevel 768
loglevel 0
lastmod off
cachesize 100
dbcachesize 1000
dbnosyncindex objectClass,uid,uidNumber,gidNumber     eq
index cn,mail,surname,givenname              
eq,subinitial                     


/etc/nsswitch.conf:
~
passwd:     files ldap nisplus nis
shadow:     tcb ldap files nisplus nis
group:      files ldap nisplus nis
~

/etc/pam.d/system-auth:
#%PAM-1.0
auth    required        /lib/security/pam_env.so
auth    sufficient      /lib/security/pam_ldap.so
auth    required        /lib/security/pam_tcb.so shadow fork nullok
use_first_pass
account sufficient      /lib/security/pam_ldap.so
account required        /lib/security/pam_tcb.so shadow fork
password        required        /lib/security/pam_passwdqc.so
min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
random=42 enforce=users retry=3
password        sufficient      /lib/security/pam_ldap.so use_authtok
password        required        /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
session required        /lib/security/pam_env.so
session required        /lib/security/pam_ldap.so
session required        /lib/security/pam_tcb.so
session required        /lib/security/pam_limits.so

/etc/pam.d/system-auth-use_first_pass:
#%PAM-1.0
auth    required        /lib/security/pam_env.so
auth    sufficient      /lib/security/pam_ldap.so use_first_pass
auth    required        /lib/security/pam_tcb.so shadow fork nullok
use_first_pass
password        sufficient      /lib/security/pam_ldap.so use_first_pass
password        required        /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
session required        /lib/security/pam_env.so

Конфигурации рабочие, смотреть логи ОБЯЗАТЕЛЬНО
С ув. Serj.