From: Epiphanov Sergei <serpiph@nikiet.ru> To: vserge@altlinux.ru, ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru> Subject: Re: [sisyphus] подключение к OpenLDAP через SASL опять отвалилась. Date: Thu, 9 Dec 2004 13:03:26 +0300 Message-ID: <200412091303.27182.serpiph@nikiet.ru> (raw) In-Reply-To: <20041209104427.726392b7@pokemon.msk.menatepspb.com> В сообщении от 9 Декабрь 2004 10:44 vserge написал: > On Wed, 8 Dec 2004 17:31:44 +0300 > > Epiphanov Sergei <serpiph@nikiet.ru> wrote: > > Обновился с 2.1.30-alt3 до 2.2.18-alt3 (вместе с со всеми программами, > > Сергей если есть доступ к инкомминг заберите оттуда 2.2.19-alt1 У меня нет доступа (я не мантейнер, так как нет возможности полноценно выходить в интернет, только почта). > > которые он цепляет). Теперь система от 06.12.2004. Опять при > > подключении через SASL посылает в пешее путешествие. Через simple - > > всё нормально. Подскажите, какие шаги делает LDAP при регистрации > > через SASL. Полные логи ничего не говорят. > > sasl мне негде было проверить можно в личную почту прислать мне шаги для > воспроизведения и я на этих праздниках попробую поэксперементировать > над этим вопросом! Решил воспользоваться книжечкой для Master 2.4. Кстати, шаги, которые там приведены, уже не работают. В частности, openldap отказывается регистрировать запись вида dn: dc=example,dc=com objectClass: ... <ну и так далее> говоря, что нет такого аттрибута <dc>. Приходится брать другие варианты, у меня, o=example,dc=com Далее полез в английский HOWTO как настроить sasl в ldap. Прописал в /etc/slapd.conf строку sasl-regexp uid=(.*),cn=example,cn=digest-md5,cn=auth uid=$1,ou=people,o=bkpi82,dc=com В инструкции сказано, что необходимо настроить sasl2 перед работой. Но возникает вопрос: по умолчанию sasl2 обращается к серверу ldap, а ldap (для проверки пароля) - к sasl. Нет ли здесь замкнутого круга? Я навёл saslauthd на запущенный сервер ldap, через simple подключение ввёл пользователя test, дал ему пароль test. Набираю: ldapsearch -LLL -W -U test@example -b 'o=example,dc=com' Получаю: ldap_sasl_interacive_bind_s: no such object (32) Какой же он ищет объект? Из регистрации пакетов я приблизительно понял, что ему нужны записи, где в objectClass есть supportedSASLMechanisms. Но такого objectClass в схемах я что-то вообще не нашёл. На команду ldapsearch -LLL -Y DIGEST-MD5 -W -U test@example -b 'o=example,dc=com' Говорит, что нет такого метода: DIGEST-MD5 > Я знаю точно, что сейчас в ветке 2.2.х система sasl была переработана > полностью. Разработчики отказались от отдельного кербероса и используют > sasl для работы с ним. Понять бы, что ему надо. А точнее последовательность действий: 1. Запрос ввода имени и пароля 2. передача на сервер 3. сервер формирует строку/обращается к внешним программам/что-то ещё... .... Курение исходников и доков уже в течение месяца просветления не дали. Может, я где-то в районе sasl чего-то недонастроил... -- С уважением, Епифанов Сергей
next prev parent reply other threads:[~2004-12-09 10:03 UTC|newest] Thread overview: 6+ messages / expand[flat|nested] mbox.gz Atom feed top 2004-12-08 14:31 Epiphanov Sergei 2004-12-09 7:44 ` vserge 2004-12-09 10:03 ` Epiphanov Sergei [this message] 2004-12-09 10:53 ` Epiphanov Sergei 2004-12-09 11:15 ` vserge 2004-12-09 11:16 ` vserge
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=200412091303.27182.serpiph@nikiet.ru \ --to=serpiph@nikiet.ru \ --cc=sisyphus@altlinux.ru \ --cc=vserge@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git