[sisyphus] LDAP PDC (вот такая моя печаль)

ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed

* [sisyphus] LDAP PDC (вот такая моя печаль)
@ 2002-12-06  5:39 Peter V. Saveliev
  2002-12-06  7:16 ` Dmitry V. Levin
                   ` (2 more replies)
  0 siblings, 3 replies; 10+ messages in thread
From: Peter V. Saveliev @ 2002-12-06  5:39 UTC (permalink / raw)
  To: sisyphus

...

Поставил задачу: централизованно авторизовать пользователей на k
unixовых машинах. После раздумий на тему nis и ldap выбрал ldap по ряду
причин. Что есть (если интересно, могу расписать подробнее):
 - passwd через ldap
 - shadow через ldap
 - hosts через то же (? см. ниже)
+ адресная книга для мылеров и т.д.

Этакий PDC для unix-домена.

Теперь вопросы:

- почему из всех методов шифрования в ShadowAccount годится только
{CRYPT}?

- почему он так непохож на содержимое shadow?

Предостер.:

nsswitch.conf:
 ...
 hosts: ldap files dns

+ Забыл в /etc/ldap.conf дописать
 nss_base_hosts          ou=hosts,dc=kehlisaari,dc=home?one

Получил: полный seg. fault и вечный respawn + la>=100. Даже chroot в
такой корень с backup'ного сидюка не сделать. Какого дьявола?!
Переставил систему, работавшую до этого полтора года, думал, reiserfs
накрылась. Дурная голова... Но не баг ли это? В nsswitch.conf строка
hosts гласит ldap files dns. Почему же он валится при недоступности
ldap-сервера (kernel-up 1 init=/bin/bash)? Кстати, поможет ли та строка
для ldap.conf - не знаю, я про это по пути на работу подумал.

Может ли кто прокомментировать? Похоже-таки на злобного клопа.

+ Может ли кто надоумить на тему BDC на LDAP, на тему, если PDC
накроется?

-- 
Sincerely,
Peter V. Saveliev

E-mail: peet@eltel.net
Jabber: peet@jabber.ru

^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [sisyphus] LDAP PDC (вот такая моя печаль)
  2002-12-06  5:39 [sisyphus] LDAP PDC (вот такая моя печаль) Peter V. Saveliev
@ 2002-12-06  7:16 ` Dmitry V. Levin
  2002-12-06  8:06   ` Peter V. Saveliev
  2002-12-06  7:48 ` Denis S. Filimonov
  2002-12-06 12:01 ` [sisyphus] " Michael Shigorin
  2 siblings, 1 reply; 10+ messages in thread
From: Dmitry V. Levin @ 2002-12-06  7:16 UTC (permalink / raw)
  To: ALT Linux Sisyphus mailing list

[-- Attachment #1: Type: text/plain, Size: 848 bytes --]

On Fri, Dec 06, 2002 at 08:39:44AM +0300, Peter V. Saveliev wrote:
> Предостер.:
> 
> nsswitch.conf:
>  ...
>  hosts: ldap files dns
> 
> + Забыл в /etc/ldap.conf дописать
>  nss_base_hosts          ou=hosts,dc=kehlisaari,dc=home?one
> 
> Получил: полный seg. fault и вечный respawn + la>=100. Даже chroot в
> такой корень с backup'ного сидюка не сделать. Какого дьявола?!
> Переставил систему, работавшую до этого полтора года, думал, reiserfs
> накрылась. Дурная голова... Но не баг ли это? В nsswitch.conf строка
> hosts гласит ldap files dns. Почему же он валится при недоступности
> ldap-сервера (kernel-up 1 init=/bin/bash)? Кстати, поможет ли та строка
> для ldap.conf - не знаю, я про это по пути на работу подумал.
> 
> Может ли кто прокомментировать? Похоже-таки на злобного клопа.

Похоже на зацикливание: nss - nss_ldap - nss.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [sisyphus] LDAP PDC (вот такая моя печаль)
  2002-12-06  5:39 [sisyphus] LDAP PDC (вот такая моя печаль) Peter V. Saveliev
  2002-12-06  7:16 ` Dmitry V. Levin
@ 2002-12-06  7:48 ` Denis S. Filimonov
  2002-12-06  8:43   ` Peter V. Saveliev
  2002-12-06 12:01 ` [sisyphus] " Michael Shigorin
  2 siblings, 1 reply; 10+ messages in thread
From: Denis S. Filimonov @ 2002-12-06  7:48 UTC (permalink / raw)
  To: sisyphus

6 Декабрь 2002 11:39, Peter V. Saveliev написал:
> ...
>
> Поставил задачу: централизованно авторизовать пользователей на k
> unixовых машинах. После раздумий на тему nis и ldap выбрал ldap по
> ряду причин. Что есть (если интересно, могу расписать подробнее): -
> passwd через ldap
>  - shadow через ldap
>  - hosts через то же (? см. ниже)
> + адресная книга для мылеров и т.д.
>
> Этакий PDC для unix-домена.
>
> Теперь вопросы:
>
> - почему из всех методов шифрования в ShadowAccount годится только
> {CRYPT}?
>
> - почему он так непохож на содержимое shadow?
в /etc/ldap.conf добавить:
pam_password md5

а в /etc/openldap/slapd.conf:
password-hash {CRYPT}
password-crypt-salt-format "$1$%.8s"

пароли будут хэшироваться по md5, в принципе, наверно, можно и в 
blowfish переделать

>
> Предостер.:
>
> nsswitch.conf:
>  ...
>  hosts: ldap files dns
а нужен ли вам /etc/hosts под ldap? чем dns не устраивает, он, наверно, 
и пошустрее будет.

>
> + Может ли кто надоумить на тему BDC на LDAP, на тему, если PDC
> накроется?
openldap умеет реплицироваться, но как сделать чтобы в случае 
недоступности главного сервера все пошли на реплику не знаю... похоже 
что никак



^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [sisyphus] LDAP PDC (вот такая моя печаль)
  2002-12-06  7:16 ` Dmitry V. Levin
@ 2002-12-06  8:06   ` Peter V. Saveliev
  2002-12-06  9:52     ` vserge
  0 siblings, 1 reply; 10+ messages in thread
From: Peter V. Saveliev @ 2002-12-06  8:06 UTC (permalink / raw)
  To: sisyphus

On Fri, 6 Dec 2002 10:16:25 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

<skip /> 
> Похоже на зацикливание: nss - nss_ldap - nss.

Может, я дурной. Но зачем nss_ldap лезть в nss? Если б это можно было
оттрейсить... По идее, нет ldap - пошел в files. Нет files - пошел в
dns. Но в основном понятно. Буду прикручивать ldap к bind. Чрез то будет
мне счастье. Если кто может помочь советом - буду очень благодарен.

-- 
Sincerely,
Peter V. Saveliev

E-mail: peet@eltel.net
Jabber: peet@jabber.ru

^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [sisyphus] LDAP PDC (вот такая моя печаль)
  2002-12-06  7:48 ` Denis S. Filimonov
@ 2002-12-06  8:43   ` Peter V. Saveliev
  2002-12-06 10:16     ` vserge
  0 siblings, 1 reply; 10+ messages in thread
From: Peter V. Saveliev @ 2002-12-06  8:43 UTC (permalink / raw)
  To: sisyphus

On Fri, 6 Dec 2002 13:48:19 +0600
"Denis S. Filimonov" <den@academ.org> wrote:

<skip />
> в /etc/ldap.conf добавить:
> pam_password md5
> 
> а в /etc/openldap/slapd.conf:
> password-hash {CRYPT}
> password-crypt-salt-format "$1$%.8s"
> 
> пароли будут хэшироваться по md5, в принципе, наверно, можно и в 
> blowfish переделать

Ай, спасибо :)

> а нужен ли вам /etc/hosts под ldap? чем dns не устраивает, он, наверно, 
> и пошустрее будет.

Вот и будет на dns. Только придумаю, как ldap туда прикрутить :))) Если
серьезно, то руками шерстить около полутора сотен доменов - удовольствие
то еще. По опыту говорю :) Так что или БД прикручивать или одно из двух.

> openldap умеет реплицироваться, но как сделать чтобы в случае 
> недоступности главного сервера все пошли на реплику не знаю... похоже 
> что никак

Буду крепко думать.

-- 
Sincerely,
Peter V. Saveliev

E-mail: peet@eltel.net
Jabber: peet@jabber.ru


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [sisyphus] LDAP PDC (вот такая моя печаль)
  2002-12-06  8:06   ` Peter V. Saveliev
@ 2002-12-06  9:52     ` vserge
  2002-12-06  9:59       ` Peter V. Saveliev
  0 siblings, 1 reply; 10+ messages in thread
From: vserge @ 2002-12-06  9:52 UTC (permalink / raw)
  To: sisyphus

Добрый день

Вы написали "Peter V. Saveliev" <peet@eltel.net> Fri, 6 Dec 2002 11:06:07
+0300:

> On Fri, 6 Dec 2002 10:16:25 +0300
> "Dmitry V. Levin" <ldv@altlinux.org> wrote:
> 
> <skip /> 
> > Похоже на зацикливание: nss - nss_ldap - nss.
> 
> Может, я дурной. Но зачем nss_ldap лезть в nss? Если б это можно было
> оттрейсить... По идее, нет ldap - пошел в files. Нет files - пошел в
> dns. Но в основном понятно. Буду прикручивать ldap к bind. Чрез то будет
> мне счастье. Если кто может помочь советом - буду очень благодарен.
Это ошибка, которую я сейчас пытаюсь локализовать, запрос к разработчикам
nssl_ldap пока ничего не дал, смысл этой проблемы в следующем, что в при
вызове библиотечной функции ldap_open (libldap) происходит Seg.Fault что все и
наблюдают

Эта ошибка может привести к неработоспособности системы! что вы собственно и
наблюдали!

Мои рекомендации вопервых всегда выставлять в nssswitch.conf такую
последовательность file ldap !!! чтобы можно было работать с локальными
файлами системным пользователям! и запускать nscd обязательно, тогда работа
nss_ldap менятеся и все запросы идут через этот кеширубщий сервер.

смотри баг http://bugs.altlinux.ru/view_bug_page.php?f_id=0001010



-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [sisyphus] LDAP PDC (вот такая моя печаль)
  2002-12-06  9:52     ` vserge
@ 2002-12-06  9:59       ` Peter V. Saveliev
  0 siblings, 0 replies; 10+ messages in thread
From: Peter V. Saveliev @ 2002-12-06  9:59 UTC (permalink / raw)
  To: sisyphus

On Fri, 6 Dec 2002 12:52:56 +0300
vserge <vserge@altlinux.ru> wrote:

<skip />
> Это ошибка, которую я сейчас пытаюсь локализовать, запрос к разработчикам
> nssl_ldap пока ничего не дал, смысл этой проблемы в следующем, что в при
> вызове библиотечной функции ldap_open (libldap) происходит Seg.Fault что все и
> наблюдают

Хм.

> Эта ошибка может привести к неработоспособности системы! что вы собственно и
> наблюдали!

Мне бы это знание вчера... Ну да впредь умнее буду.

> Мои рекомендации вопервых всегда выставлять в nssswitch.conf такую
> последовательность file ldap !!! чтобы можно было работать с локальными
> файлами системным пользователям! и запускать nscd обязательно, тогда работа
> nss_ldap менятеся и все запросы идут через этот кеширубщий сервер.

Спасибо огромное.

-- 
Sincerely,
Peter V. Saveliev

E-mail: peet@eltel.net
Jabber: peet@jabber.ru


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [sisyphus] LDAP PDC (вот такая моя печаль)
  2002-12-06  8:43   ` Peter V. Saveliev
@ 2002-12-06 10:16     ` vserge
  0 siblings, 0 replies; 10+ messages in thread
From: vserge @ 2002-12-06 10:16 UTC (permalink / raw)
  To: sisyphus

Добрый день

Вы написали "Peter V. Saveliev" <peet@eltel.net> Fri, 6 Dec 2002 11:43:05
+0300:

> On Fri, 6 Dec 2002 13:48:19 +0600
> "Denis S. Filimonov" <den@academ.org> wrote:
> 
> <skip />
> > в /etc/ldap.conf добавить:
> > pam_password md5
> > 
> > а в /etc/openldap/slapd.conf:
> > password-hash {CRYPT}
если мне не изменяет память здесь тоже должно быть {MD5}

> > password-crypt-salt-format "$1$%.8s"
> > 
> > пароли будут хэшироваться по md5, в принципе, наверно, можно и в 
> > blowfish переделать
> 
> Ай, спасибо :)
> 
> > а нужен ли вам /etc/hosts под ldap? чем dns не устраивает, он, наверно, 
> > и пошустрее будет.
> 
> Вот и будет на dns. Только придумаю, как ldap туда прикрутить :))) Если
> серьезно, то руками шерстить около полутора сотен доменов - удовольствие
> то еще. По опыту говорю :) Так что или БД прикручивать или одно из двух.
посмотри это или поищи на freshmeat.net

http://ldap2dns.tiscover.com/
http://tigglesworth.dyndns.org/ldapbinder/


> 
> > openldap умеет реплицироваться, но как сделать чтобы в случае 
> > недоступности главного сервера все пошли на реплику не знаю... похоже 
> > что никак

да безусловно умеет реплицироваться и последнии версии OpenLDAP тестриутся
варианты multi-master серверов.

-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		


^ permalink raw reply	[flat|nested] 10+ messages in thread

* [sisyphus] Re: LDAP PDC (вот такая моя печаль)
  2002-12-06  5:39 [sisyphus] LDAP PDC (вот такая моя печаль) Peter V. Saveliev
  2002-12-06  7:16 ` Dmitry V. Levin
  2002-12-06  7:48 ` Denis S. Filimonov
@ 2002-12-06 12:01 ` Michael Shigorin
  2002-12-06 12:13   ` Peter V. Saveliev
  2 siblings, 1 reply; 10+ messages in thread
From: Michael Shigorin @ 2002-12-06 12:01 UTC (permalink / raw)
  To: sisyphus

On Fri, Dec 06, 2002 at 08:39:44AM +0300, Peter V. Saveliev wrote:
> Переставил систему, работавшую до этого полтора года, думал, reiserfs
> накрылась. Дурная голова... Но не баг ли это? В nsswitch.conf строка
                                                                ^^^^^^
> hosts гласит ldap files dns. Почему же он валится при недоступности

Ее-то можно было и без чрута поправить, ну и без переустановки :(

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 10+ messages in thread

* Re: [sisyphus] Re: LDAP PDC (вот такая моя печаль)
  2002-12-06 12:01 ` [sisyphus] " Michael Shigorin
@ 2002-12-06 12:13   ` Peter V. Saveliev
  0 siblings, 0 replies; 10+ messages in thread
From: Peter V. Saveliev @ 2002-12-06 12:13 UTC (permalink / raw)
  To: sisyphus

On Fri, 6 Dec 2002 14:01:05 +0200
Michael Shigorin <mike@osdn.org.ua> wrote:

> On Fri, Dec 06, 2002 at 08:39:44AM +0300, Peter V. Saveliev wrote:
> > Переставил систему, работавшую до этого полтора года, думал, reiserfs
> > накрылась. Дурная голова... Но не баг ли это? В nsswitch.conf строка
>                                                                 ^^^^^^
> > hosts гласит ldap files dns. Почему же он валится при недоступности
> 
> Ее-то можно было и без чрута поправить, ну и без переустановки :(

Нельзя. Как только она попала в nsswitch.conf - vi nsswitch.conf
загрузил машину на la>5 сразу и без просвета в перспективе. Ребут не
помог: id[1-5] respawn too fast... init=/bin/bash - тоже. И т.д. То
есть, можно примонтировать ее с рискового CD, поправить, но, блин, надо
знать в чем бага. А об этом я узнал уже постфактум сегодня утром, когда
второй раз положил систему. Уже переустановленную :|

-- 
Sincerely,
Peter V. Saveliev

E-mail: peet@eltel.net
Jabber: peet@jabber.ru

^ permalink raw reply	[flat|nested] 10+ messages in thread

end of thread, other threads:[~2002-12-06 12:13 UTC | newest]

Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-12-06  5:39 [sisyphus] LDAP PDC (вот такая моя печаль) Peter V. Saveliev
2002-12-06  7:16 ` Dmitry V. Levin
2002-12-06  8:06   ` Peter V. Saveliev
2002-12-06  9:52     ` vserge
2002-12-06  9:59       ` Peter V. Saveliev
2002-12-06  7:48 ` Denis S. Filimonov
2002-12-06  8:43   ` Peter V. Saveliev
2002-12-06 10:16     ` vserge
2002-12-06 12:01 ` [sisyphus] " Michael Shigorin
2002-12-06 12:13   ` Peter V. Saveliev

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git