[sisyphus] подключение к OpenLDAP через SASL опять отвалилась.

[sisyphus] подключение к OpenLDAP через SASL опять отвалилась.

[Epiphanov Sergei]

Обновился с 2.1.30-alt3 до 2.2.18-alt3 (вместе с со всеми программами, 
которые он цепляет). Теперь система от 06.12.2004. Опять при подключении 
через SASL посылает в пешее путешествие. Через simple - всё нормально. 
Подскажите, какие шаги делает LDAP при регистрации через SASL. Полные логи 
ничего не говорят.

-- 
С уважением, Епифанов Сергей

Re: [sisyphus] подключение к OpenLDAP через SASL опять отвалилась.

[vserge]

On Wed, 8 Dec 2004 17:31:44 +0300
Epiphanov Sergei <serpiph@nikiet.ru> wrote:

> Обновился с 2.1.30-alt3 до 2.2.18-alt3 (вместе с со всеми программами,
Сергей если есть доступ к инкомминг заберите оттуда 2.2.19-alt1



> 
> которые он цепляет). Теперь система от 06.12.2004. Опять при
> подключении через SASL посылает в пешее путешествие. Через simple -
> всё нормально. Подскажите, какие шаги делает LDAP при регистрации
> через SASL. Полные логи ничего не говорят.

sasl мне негде было проверить можно в личную почту прислать мне шаги для
воспроизведения и я на этих праздниках попробую поэксперементировать
над этим вопросом!

Я знаю точно, что сейчас в ветке 2.2.х система sasl была переработана
полностью. Разработчики отказались от отдельного кербероса и используют
sasl для работы с ним.

Давай разбираться!
> 
> -- 
> С уважением, Епифанов Сергей
> 


-- 
> KDE 3.3 к Новому Году где-нибудь... Не каждый же юзер может из
> Сизифа вытащить и пересобрать ?
А оно юзеру надо?
		-- mike in sisyphus@

Re: [sisyphus] подключение к OpenLDAP через SASL опять отвалилась.

[Epiphanov Sergei]

В сообщении от 9 Декабрь 2004 10:44 vserge написал:
> On Wed, 8 Dec 2004 17:31:44 +0300
>
> Epiphanov Sergei <serpiph@nikiet.ru> wrote:
> > Обновился с 2.1.30-alt3 до 2.2.18-alt3 (вместе с со всеми программами,
>
> Сергей если есть доступ к инкомминг заберите оттуда 2.2.19-alt1

У меня нет доступа (я не мантейнер, так как нет возможности полноценно 
выходить в интернет, только почта).

> > которые он цепляет). Теперь система от 06.12.2004. Опять при
> > подключении через SASL посылает в пешее путешествие. Через simple -
> > всё нормально. Подскажите, какие шаги делает LDAP при регистрации
> > через SASL. Полные логи ничего не говорят.
>
> sasl мне негде было проверить можно в личную почту прислать мне шаги для
> воспроизведения и я на этих праздниках попробую поэксперементировать
> над этим вопросом!

Решил воспользоваться книжечкой для Master 2.4. Кстати, шаги, которые там 
приведены, уже не работают. В частности, openldap отказывается 
регистрировать запись вида

dn: dc=example,dc=com
objectClass: ... <ну и так далее>

говоря, что нет такого аттрибута <dc>. Приходится брать другие варианты, у 
меня,

o=example,dc=com

Далее полез в английский HOWTO как настроить sasl в ldap. Прописал 
в /etc/slapd.conf строку

sasl-regexp
    uid=(.*),cn=example,cn=digest-md5,cn=auth
    uid=$1,ou=people,o=bkpi82,dc=com

В инструкции сказано, что необходимо настроить sasl2 перед работой. Но 
возникает вопрос: по умолчанию sasl2 обращается к серверу ldap, а ldap 
(для проверки пароля) - к sasl. Нет ли здесь замкнутого круга? Я навёл 
saslauthd на запущенный сервер ldap, через simple подключение ввёл 
пользователя test, дал ему пароль test.

Набираю:

ldapsearch -LLL -W -U test@example -b 'o=example,dc=com'

Получаю:

ldap_sasl_interacive_bind_s: no such object (32)

Какой же он ищет объект? Из регистрации пакетов я приблизительно понял, что 
ему нужны записи, где в objectClass есть supportedSASLMechanisms. Но 
такого objectClass в схемах я что-то вообще не нашёл. На команду

ldapsearch -LLL -Y DIGEST-MD5 -W -U test@example -b 'o=example,dc=com'

Говорит, что нет такого метода: DIGEST-MD5

> Я знаю точно, что сейчас в ветке 2.2.х система sasl была переработана
> полностью. Разработчики отказались от отдельного кербероса и используют
> sasl для работы с ним.

Понять бы, что ему надо. А точнее последовательность действий:

1. Запрос ввода имени и пароля
2. передача на сервер
3. сервер формирует строку/обращается к внешним программам/что-то ещё...
....

Курение исходников и доков уже в течение месяца просветления не дали. 
Может, я где-то в районе sasl чего-то недонастроил...

-- 
С уважением, Епифанов Сергей

Re: [sisyphus] подключение к OpenLDAP через SASL опять отвалилась.

[Epiphanov Sergei]

В сообщении от 9 Декабрь 2004 13:03 Epiphanov Sergei написал:
> Решил воспользоваться книжечкой для Master 2.4. Кстати, шаги, которые
> там приведены, уже не работают. В частности, openldap отказывается
> регистрировать запись вида
>
> dn: dc=example,dc=com
> objectClass: ... <ну и так далее>
>
> говоря, что нет такого аттрибута <dc>. Приходится брать другие варианты,
> у меня,
>
> o=example,dc=com

Ещё одн момент: в 2.2.18-alt3 отсутствует back_bdb.la, хотя база данных в 
формате bdb по умолчанию прописана в /etc/openldap/slapd.conf. В 
результате "из коробки" сервер не запускается.

-- 
С уважением, Епифанов Сергей

Re: [sisyphus] подключение к OpenLDAP через SASL опять отвалилась.

[vserge]

On Thu, 9 Dec 2004 13:53:13 +0300
Epiphanov Sergei <serpiph@nikiet.ru> wrote:

> В сообщении от 9 Декабрь 2004 13:03 Epiphanov Sergei написал:
> > Решил воспользоваться книжечкой для Master 2.4. Кстати, шаги,
> > которые там приведены, уже не работают. В частности, openldap
> > отказывается регистрировать запись вида
> >
> > dn: dc=example,dc=com
> > objectClass: ... <ну и так далее>
> >
> > говоря, что нет такого аттрибута <dc>. Приходится брать другие
> > варианты, у меня,
> >
> > o=example,dc=com
> 
> Ещё одн момент: в 2.2.18-alt3 отсутствует back_bdb.la, хотя база
> данных в формате bdb по умолчанию прописана в
> /etc/openldap/slapd.conf. В результате "из коробки" сервер не
> запускается.
Эта и еще некоторые проблемы буди исправлены в alt6, который тутже
перерос в 2.2.19-alt1

Дело в том что в 2.2.18 и 2.2.19 есть ошибка в конфигуре скрипте,
которая заставляет back-bdb собираться статически!
т.е. если в конфиге убрать строку загрузки модуля back-bdb, то все будет
работать!

-- 
Готовьте пакеты для Sisyphus. Если ошибки критические -- поместим в
update. Это нормально.
		-- aen in devel@

Re: [sisyphus] подключение к OpenLDAP через SASL опять отвалилась.

[vserge]

Добрый день

Описание принято, буду превращать свой ноут на выходные в сервер!


On Thu, 9 Dec 2004 13:03:26 +0300
Epiphanov Sergei <serpiph@nikiet.ru> wrote:

> В сообщении от 9 Декабрь 2004 10:44 vserge написал:
> > On Wed, 8 Dec 2004 17:31:44 +0300
> >
> > Epiphanov Sergei <serpiph@nikiet.ru> wrote:
> > > Обновился с 2.1.30-alt3 до 2.2.18-alt3 (вместе с со всеми
> > > программами,
> >
> > Сергей если есть доступ к инкомминг заберите оттуда 2.2.19-alt1
> 
> У меня нет доступа (я не мантейнер, так как нет возможности полноценно
> 
> выходить в интернет, только почта).
> 
> > > которые он цепляет). Теперь система от 06.12.2004. Опять при
> > > подключении через SASL посылает в пешее путешествие. Через simple
> > > - всё нормально. Подскажите, какие шаги делает LDAP при
> > > регистрации через SASL. Полные логи ничего не говорят.
> >
> > sasl мне негде было проверить можно в личную почту прислать мне шаги
> > для воспроизведения и я на этих праздниках попробую
> > поэксперементировать над этим вопросом!
> 
> Решил воспользоваться книжечкой для Master 2.4. Кстати, шаги, которые
> там приведены, уже не работают. В частности, openldap отказывается 
> регистрировать запись вида
> 
> dn: dc=example,dc=com
> objectClass: ... <ну и так далее>
> 
> говоря, что нет такого аттрибута <dc>. Приходится брать другие
> варианты, у меня,
> 
> o=example,dc=com
> 
> Далее полез в английский HOWTO как настроить sasl в ldap. Прописал 
> в /etc/slapd.conf строку
> 
> sasl-regexp
>     uid=(.*),cn=example,cn=digest-md5,cn=auth
>     uid=$1,ou=people,o=bkpi82,dc=com
> 
> В инструкции сказано, что необходимо настроить sasl2 перед работой. Но
> 
> возникает вопрос: по умолчанию sasl2 обращается к серверу ldap, а ldap
> 
> (для проверки пароля) - к sasl. Нет ли здесь замкнутого круга? Я навёл
> 
> saslauthd на запущенный сервер ldap, через simple подключение ввёл 
> пользователя test, дал ему пароль test.
> 
> Набираю:
> 
> ldapsearch -LLL -W -U test@example -b 'o=example,dc=com'
> 
> Получаю:
> 
> ldap_sasl_interacive_bind_s: no such object (32)
> 
> Какой же он ищет объект? Из регистрации пакетов я приблизительно
> понял, что ему нужны записи, где в objectClass есть
> supportedSASLMechanisms. Но такого objectClass в схемах я что-то
> вообще не нашёл. На команду
> 
> ldapsearch -LLL -Y DIGEST-MD5 -W -U test@example -b 'o=example,dc=com'
> 
> Говорит, что нет такого метода: DIGEST-MD5
> 
> > Я знаю точно, что сейчас в ветке 2.2.х система sasl была
> > переработана полностью. Разработчики отказались от отдельного
> > кербероса и используют sasl для работы с ним.
> 
> Понять бы, что ему надо. А точнее последовательность действий:
> 
> 1. Запрос ввода имени и пароля
> 2. передача на сервер
> 3. сервер формирует строку/обращается к внешним программам/что-то
> ещё.......
> 
> Курение исходников и доков уже в течение месяца просветления не дали. 
> Может, я где-то в районе sasl чего-то недонастроил...
> 

-- 
[...] размножение ядер лучше делать автоматизированным...
		-- mouse in devel@