[sisyphus] alterator-openldap

[sisyphus] alterator-openldap

[Anton A. Vinogradov]

Доброго!
Насколько годен сейчас сабж в сизифе?

первое очевидное -- в конфиг по умолчанию включены элементы для самба, 
однако сама схема не включена, что вполне поправимо

Выглядит вкусно. делает все автоматом, но
но созданные базы не работают.

либо с
ldap-useradd: DN_CONF not set
либо с
No such object (32) No such object (32) No such object (32) No such 
object (32) No such object (32) ldap_bind: Invalid credentials (49)

Я понимаю, что нужно/можно ручками, но хотелось бы пользоваться 
альтератором.

PS: Актуальный сизиф в ovz контейнере, модули альтератора и все 
остальное --- apt-get install alterator*

Re: [sisyphus] alterator-openldap

[Anton A. Vinogradov]

01.08.2010 14:54, Anton A. Vinogradov пишет:
> Доброго!
> Насколько годен сейчас сабж в сизифе?
>
> первое очевидное -- в конфиг по умолчанию включены элементы для самба,
> однако сама схема не включена, что вполне поправимо
Переред созданием пользователя _обязательно_ включить samba3 shema
и установить самба.

ToDO: попросить сделать безусловно полезную для sambapdc фичу 
отключаемой. Например при проверке включена ли самбасхема.

Re: [sisyphus] alterator-openldap

[Anton A. Vinogradov]

01.08.2010 16:34, Anton A. Vinogradov пишет:
> 01.08.2010 14:54, Anton A. Vinogradov пишет:
>> Доброго!
>> Насколько годен сейчас сабж в сизифе?
>>
>> первое очевидное -- в конфиг по умолчанию включены элементы для самба,
>> однако сама схема не включена, что вполне поправимо
> Переред созданием пользователя _обязательно_ включить samba3 shema
> и установить самба.
>
> ToDO: попросить сделать безусловно полезную для sambapdc фичу
> отключаемой. Например при проверке включена ли самбасхема.
>
не притягиваются по зависимостям
поэтому
apt-get install pam_ldap nss_ldap

Re: [sisyphus] alterator-openldap

[Dmitriy Kruglikov]

1 августа 2010 г. 13:54 пользователь Anton A. Vinogradov написал:
> Доброго!
> Насколько годен сейчас сабж в сизифе?
Примерно на 75-80% ...

> первое очевидное -- в конфиг по умолчанию включены элементы для самба,
> однако сама схема не включена, что вполне поправимо
Там уши растут аж из ldap-user-tool ...
А там все прибито гвоздями и к паролю в открытом виде, и к некоторой
схеме дерева и к многому другому ...

Я пока увяз в вариантах более правильной реализации ...
Их много, а какой нужен, не готов сказать ...

Можно пообсуждать и выбрать оптимальный...

Тогда я и продолжу работу ...

P.S.
Рулить схемами из модуля получилось?

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] alterator-openldap

[Anton A. Vinogradov]

02.08.2010 10:14, Dmitriy Kruglikov пишет:
> 1 августа 2010 г. 13:54 пользователь Anton A. Vinogradov написал:
>> Доброго!
>
> P.S.
> Рулить схемами из модуля получилось?
Да.
только авторизация и создание пользователей, без пинка не заработала.
Зависимости не все прописаны.

Re: [sisyphus] alterator-openldap

[Dmitriy Kruglikov]

2 августа 2010 г. 9:42 пользователь Anton A. Vinogradov написал:
> 02.08.2010 10:14, Dmitriy Kruglikov пишет:

>> Рулить схемами из модуля получилось?
>
> Да.
> только авторизация и создание пользователей, без пинка не заработала.
> Зависимости не все прописаны.
Это не зависимости ...
Авторизация включается в alterator-auth ...
А создание пользователей зависит от того, на какую базу "нацелен" auth ...

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] alterator-openldap

[Anton A. Vinogradov]

02.08.2010 10:48, Dmitriy Kruglikov пишет:
> 2 августа 2010 г. 9:42 пользователь Anton A. Vinogradov написал:
>> 02.08.2010 10:14, Dmitriy Kruglikov пишет:
>
>>> Рулить схемами из модуля получилось?
>>
>> Да.
>> только авторизация и создание пользователей, без пинка не заработала.
>> Зависимости не все прописаны.
> Это не зависимости ...
> Авторизация включается в alterator-auth ...
> А создание пользователей зависит от того, на какую базу "нацелен" auth ...
При аутентификации нацеленной на passwd у меня вообще ничегго не создавало.

Для создания пользователя в лдап нужна net из самбы -- по зависимостям 
не притягивается

для авторизации в лдапе -- apt-get install pam_ldap nss_ldap, без них не 
авторизует.

Re: [sisyphus] alterator-openldap

[Dmitriy Kruglikov]

2 августа 2010 г. 9:49 пользователь Anton A. Vinogradov написал:
> 02.08.2010 10:48, Dmitriy Kruglikov пишет:
>>
>> 2 августа 2010 г. 9:42 пользователь Anton A. Vinogradov написал:
> При аутентификации нацеленной на passwd у меня вообще ничегго не создавало.
А ...
То совсем отдельный модуль альтератора делал пользователей в /etc/passwd...
В планах есть анализировать схему auth и создавать пользователей в
нужном (а не через) месте...

>
> Для создания пользователя в лдап нужна net из самбы -- по зависимостям не
> притягивается
Понял, подумаю, как сделать проверку ...
Я сильно в user-tools не лазил ...
Там все сильно непонятно наворочано ...

> для авторизации в лдапе -- apt-get install pam_ldap nss_ldap, без них не
> авторизует.
Ну, это как бы не проблемы alterator-openldap ...
Так как он только базами и настройками самого openldap рулить преднанзначен ...

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] alterator-openldap

[Anton A. Vinogradov]

02.08.2010 10:59, Dmitriy Kruglikov пишет:
> 2 августа 2010 г. 9:49 пользователь Anton A. Vinogradov написал:
>> 02.08.2010 10:48, Dmitriy Kruglikov пишет:
>>>
>>> 2 августа 2010 г. 9:42 пользователь Anton A. Vinogradov написал:
>> При аутентификации нацеленной на passwd у меня вообще ничегго не создавало.
> А ...
> То совсем отдельный модуль альтератора делал пользователей в /etc/passwd...
> В планах есть анализировать схему auth и создавать пользователей в
> нужном (а не через) месте...
А у нас системные группы пользователи должны в ldap импортироваться 
(задваиваться?) ?
Не могу пользователя из лдап включить в группу из /etc/g..
>
>>
>> Для создания пользователя в лдап нужна net из самбы -- по зависимостям не
>> притягивается
> Понял, подумаю, как сделать проверку ...
> Я сильно в user-tools не лазил ...
> Там все сильно непонятно наворочано ...
>
>> для авторизации в лдапе -- apt-get install pam_ldap nss_ldap, без них не
>> авторизует.
> Ну, это как бы не проблемы alterator-openldap ...
> Так как он только базами и настройками самого openldap рулить преднанзначен ...
>
Грабли -- как грабли, за что собрал за то и продаю :)

Re: [sisyphus] alterator-openldap

[Dmitriy Kruglikov]

2 августа 2010 г. 10:31 пользователь Anton A. Vinogradov написал:
> А у нас системные группы пользователи должны в ldap импортироваться
> (задваиваться?) ?
Должны импортироваться, по идее ...
Но импорта ни кто не делал ...
Теоретически, на голой, свежеустановленной, системе, оно сразу должно
на LDAP разворачиваться ...

> Грабли -- как грабли, за что собрал за то и продаю :)
;)
Не уверен, что модуль для управления базами LDAP должен следить за
всем остальным ...
Теоретически, на сервере с LDAP может быть локальная аутентификация, а
база используется для чего-то другого ...
Например, для хранения пользователей стороннего приложения ...
И баз может быть больше одной ...
И сама Samba на этом сервере не нужна ...

Изначально, модуль создавался для режима "мухи и котлеты в одной тарелке" ...

И нужно ли делать универсальный, всеохватывающий модуль, который бы
проверял сам все возможные режимы и сам переключался на нужный режим ?

Сделать-то можно, но с точки зрения слабоподготовленного пользователя ...
Думаю, cas@ не одобрит с точки зрения юзабилити ...


-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] alterator-openldap

[Dmitriy Kruglikov]

1 августа 2010 г. 13:54 пользователь Anton A. Vinogradov написал:
> Доброго!
> Насколько годен сейчас сабж в сизифе?
Буквально только что собрался в Сизифе alterator-openldap-0.7-alt1.
Кому срочно, git://git.altlinux.org/people/dkr/packages/alterator-openldap.git

- Умеет сохранять базу в LDIF и отдавать на рабочую станцию оператора.
- Умеет создавать новую базу из этого LDIF. (Не проверят наличия базы
с таким же именем.)
- Умеет спрашивать пароль, если в конфиге базы он зашифрован.
- В списке баз показывает способ хранения пароля.
- Показывает (и не дает удалять) базу, которая задействована в аутентификации.
- Быстрый (тупой) режим создания базы по FQDN или DN.
- Экспертный режим с кучей плюшек.
- В режиме просмотра базы можно создавать в ней дополнительные
контейнеры из списка и/или поля ввода.
- Включение/выключение схем.
- Загрузка своей схемы и сохранение ее с указанным именем (после
загрузки она не включена).

Пока нет переводов и справочной страницы.

Принимаю замечания и пожелания (только по этому модулю).

P.S.
Если кто зашифрует пароль, то ССЗБ, потому как alterator-users еще не
обучен спрашивать пароль.

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [sisyphus] alterator-openldap

[Шенцев Алексей Владимирович]

On Wednesday 18 August 2010 10:56:06 Dmitriy Kruglikov wrote:
> Если кто зашифрует пароль, то ССЗБ, потому как alterator-users еще не
> обучен спрашивать пароль.

А миграция с tcb, shadow есть? С сохранением паролей, хоть шифрованных, хоть 
не шифрованных есть?
-- 
С уважением, Шенцев Алексей Владимирович.

Re: [sisyphus] alterator-openldap

[Dmitriy Kruglikov]

18 августа 2010 г. 10:20 пользователь Шенцев Алексей Владимирович написал:
> On Wednesday 18 August 2010 10:56:06 Dmitriy Kruglikov wrote:
>> Если кто зашифрует пароль, то ССЗБ, потому как alterator-users еще не
>> обучен спрашивать пароль.
>
> А миграция с tcb, shadow есть? С сохранением паролей, хоть шифрованных, хоть
> не шифрованных есть?
То, на что ты намекаешь, (когда|если) будет, то в модуле управления
пользователями (заготовочка уже как бы и есть).
Этот модуль управляет только базами, как единой и неделимой сущностью...
А хранятся ли пользователи в этой сущности, уже не так и важно ...

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;