From: "\"А. Куликовский\"" <kae@tut.by>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: [Sysadmins] Не резольвятся пользователи в LDAP (+SAMBA)
Date: Thu, 15 Jan 2009 19:40:16 +0200
Message-ID: <496F7500.6020609@tut.by> (raw)
Доброго времени.
Имеется ALS4 обновленный из "Sisyphus stable branch for ALT Linux 4.0
Server". Пытаюсь поднять PDC взамен покойного Вынь2к. В основном делал
по "Настройка OpenLDAP и его клиентов" из http://freesource.info/wiki/.
Кроме того использовал smbldap-tools_0.9.2 - для заполнения и создания
юзеров/паролей. ldapsearch всё созданное успешно показывает. Даже TLS
вроде как работает - openssl s_client -connect и т.д. показывает как
будто то, что надо.
Но! Система пользователей не видит.
В nss_ldap.conf и pam_ldap.conf прописан rootbinddn uid=user_admin,...
Файл pam_ldap.secret имеется. Для этого юзера прописаны ACL согласно
"Настройка OpenLDAP и его клиентов". В slapd-access.conf заменено People
на Users (smbldap-tools так хочет)
Создан юзер "s", пробую
[root@srv log]# id s
id: s: No such user
пытаюсь зайти им с консоли. В логах slapd имеем:
---
Jan 15 19:16:30 srv slapd[26562]: <= check a_dn_pat:
uid=user_admin,ou=users,dc=g1,dc=schoolnet
Jan 15 19:16:30 srv slapd[26562]: <= check a_dn_pat: self
Jan 15 19:16:30 srv slapd[26562]: <= check a_dn_pat: users
Jan 15 19:16:30 srv slapd[26562]: <= acl_mask: no more <who> clauses,
returning =0 (stop)
Jan 15 19:16:30 srv slapd[26562]: => access_allowed: read access denied
by =0
Jan 15 19:16:30 srv slapd[26562]: send_search_entry: conn 76 access to
attribute gecos, value #0 not allowed
Jan 15 19:16:30 srv slapd[26562]: => access_allowed: read access to
"uid=s,ou=Users,dc=g1,dc=schoolnet" "userPassword" requested
Jan 15 19:16:30 srv slapd[26562]: => acl_get: [1] attr userPassword
Jan 15 19:16:30 srv slapd[26562]: access_allowed: no res from state
(userPassword)
Jan 15 19:16:30 srv slapd[26562]: => acl_mask: access to entry
"uid=s,ou=Users,dc=g1,dc=schoolnet", attr "userPassword" requested
Jan 15 19:16:30 srv slapd[26562]: => acl_mask: to value by "", (=0)
Jan 15 19:16:30 srv slapd[26562]: <= check a_dn_pat: self
Jan 15 19:16:30 srv slapd[26562]: <= check a_dn_pat: anonymous
Jan 15 19:16:30 srv slapd[26562]: <= acl_mask: [2] applying auth(=xd)
(stop)
Jan 15 19:16:30 srv slapd[26562]: <= acl_mask: [2] mask: auth(=xd)
Jan 15 19:16:30 srv slapd[26562]: => access_allowed: read access denied
by auth(=xd)
Jan 15 19:16:30 srv slapd[26562]: send_search_entry: conn 76 access to
attribute userPassword, value #0 not allowed
---
Т.е. как-бы все работает, но почему-то
=> access_allowed: read access denied by auth(=xd)
и
attribute userPassword, value #0 not allowed
хотя ldapsearch говорит, что
userPassword:: e1NTSEF9Vnk...итд
Что интересно, пробовал нескольких юзеров на роль rootbinddn uid= в
nss_ldap.conf и pam_ldap.conf, так если пароль в pam_ldap.secret
неверный, то ругается на credentials
Что еще курить?
--
С уважением, А.Куликовский
Гимназия №1, г.Дзержинск, РБ
next reply other threads:[~2009-01-15 17:40 UTC|newest]
Thread overview: 5+ messages / expand[flat|nested] mbox.gz Atom feed top
2009-01-15 17:40 "А. Куликовский" [this message]
2009-01-17 17:26 ` "А. Куликовский"
2009-01-19 21:03 ` "А. Куликовский"
2009-01-20 5:50 ` Serge
2009-01-22 8:44 ` "А. Куликовский"
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=496F7500.6020609@tut.by \
--to=kae@tut.by \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git