[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Benutzer-Authentifizierung über LDAP

Hi Markus,

Markus Hubig schrieb:
> Ich habe (mehr oder weniger auf Verdacht hin) folgende Pakete aus
> Testing installiert:
> | Package: slapd      Version: 2.0.23-6
> | Package: nscd               Version: 2.2.5-11.1
> | Package: libldap2   Version: 2.0.23-9
> | Package: ldap-utils Version: 2.0.23-6
> | Package: libpam-ldap        Version: 140-1
> | Package: libnss-ldap        Version: 186-1

Sieht soweit ganz gut aus.

> Während der Installation habe ich zu ein paar dieser Pakete Fragen
> beantworten sollen:
[...]

Also ich gehe mal davon aus das "thoregon.int" dein Domainname ist, 
welcher zum DN "dc=thoregon,dc=int" wird . Der
"cn=manager,dc=thoregon,dc=int" ist dein root account auf den 
LDAP-Server.

Pruefe mal in /etc/ldap/slapd.conf ob alle schema's included werden,
wenn nicht, so sollte es aussehen
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/misc.schema
include         /etc/ldap/schema/samba.schema

Das samba.schema liegt in
/usr/share/doc/samba-doc/examples/examples/LDAP/samba.schema.gz

> Ich möchte jetzt erst einmal so weit kommen dass die
> Benutzer-Authentifizierung unter Linux über LDAP funzt. Dabei ergeben
> sich 2 Probleme (die wahrscheinlich zusammenhängen):

Ich würde erst mal sagen du probierst erst mal den ldap-connect.
Anonymous-Bind =
ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts

Root-Bind =
ldapsearch -x -D "cn=manager,dc=thoregon,dc=int" -W \
        -b '' -s base '(objectclass=*)' namingContexts

Wenn beides klappt kannst du mit den Migration-Tools beginnen.
Das mit den migrate_all* hat bei mir auch nie funktioniert.
Ich mach lieber eins nach dem anderen.

> 1. Wie konvertiere ich /etc/passwd und Konsorten nach LDAP. Die
>    Migration-Tools haben leider nicht funktioniert.
./migrate_base.pl | ldapadd -x -D "cn=manager,dc=thoregon,dc=int" -W
./migrate_passwd.pl ....
./migrate_group.pl ....

> 2. Ich habe wie empfohlen für libnss-ldap die LDAP Version 3
>    ausgewählt. Das heißt ja IMHO dass die Kommunikation und die
>    Authentifizierung mit dem LDAP-Server Verschlüsselt abläuft. IMHO
>    mit SASL?! Muss ich da noch irgendwas einstellen damit das
>    funktioniert? Konnte darüber leider gar keine Infos finden.

Das heisst soviel, wie die Verbindung kann verschluesselt laufen.
Im Moment haben alle ldap-,libnss-ldap- sowie libpam-ldap-debs keine 
SSL-Verschluesselung , was sich aber laut Aussage der Paket-Betreuer
demnaechst aendern wird. 
 
> Was danach kommt ist mir relativ klar:
> 3. /etc/nsswitch.conf mit
>    /usr/share/doc/libnss-ldap/examples/nsswitch.ldap ersetzen.
> 4. /etc/pam.d/* mit den Versionen aus
>    /usr/share/doc/libpam-ldap/examples/pam.d/* ersetzen ...
Vom Prinzip her schon.

Ich empfehle dir "gq" zu installieren, damit hast du einen guten
Ueberblick ueber dein LDAP-Verzeichnis und kannst kleinere Aenderungen
gleich durchfuehren.

-- 
Gruss
Jens Stark
Reply to: