Re: Benutzer-Authentifizierung über LDAP
Hi Markus,
Markus Hubig schrieb:
> Ich habe (mehr oder weniger auf Verdacht hin) folgende Pakete aus
> Testing installiert:
> | Package: slapd Version: 2.0.23-6
> | Package: nscd Version: 2.2.5-11.1
> | Package: libldap2 Version: 2.0.23-9
> | Package: ldap-utils Version: 2.0.23-6
> | Package: libpam-ldap Version: 140-1
> | Package: libnss-ldap Version: 186-1
Sieht soweit ganz gut aus.
> Während der Installation habe ich zu ein paar dieser Pakete Fragen
> beantworten sollen:
[...]
Also ich gehe mal davon aus das "thoregon.int" dein Domainname ist,
welcher zum DN "dc=thoregon,dc=int" wird . Der
"cn=manager,dc=thoregon,dc=int" ist dein root account auf den
LDAP-Server.
Pruefe mal in /etc/ldap/slapd.conf ob alle schema's included werden,
wenn nicht, so sollte es aussehen
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/misc.schema
include /etc/ldap/schema/samba.schema
Das samba.schema liegt in
/usr/share/doc/samba-doc/examples/examples/LDAP/samba.schema.gz
> Ich möchte jetzt erst einmal so weit kommen dass die
> Benutzer-Authentifizierung unter Linux über LDAP funzt. Dabei ergeben
> sich 2 Probleme (die wahrscheinlich zusammenhängen):
Ich würde erst mal sagen du probierst erst mal den ldap-connect.
Anonymous-Bind =
ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts
Root-Bind =
ldapsearch -x -D "cn=manager,dc=thoregon,dc=int" -W \
-b '' -s base '(objectclass=*)' namingContexts
Wenn beides klappt kannst du mit den Migration-Tools beginnen.
Das mit den migrate_all* hat bei mir auch nie funktioniert.
Ich mach lieber eins nach dem anderen.
> 1. Wie konvertiere ich /etc/passwd und Konsorten nach LDAP. Die
> Migration-Tools haben leider nicht funktioniert.
./migrate_base.pl | ldapadd -x -D "cn=manager,dc=thoregon,dc=int" -W
./migrate_passwd.pl ....
./migrate_group.pl ....
> 2. Ich habe wie empfohlen für libnss-ldap die LDAP Version 3
> ausgewählt. Das heißt ja IMHO dass die Kommunikation und die
> Authentifizierung mit dem LDAP-Server Verschlüsselt abläuft. IMHO
> mit SASL?! Muss ich da noch irgendwas einstellen damit das
> funktioniert? Konnte darüber leider gar keine Infos finden.
Das heisst soviel, wie die Verbindung kann verschluesselt laufen.
Im Moment haben alle ldap-,libnss-ldap- sowie libpam-ldap-debs keine
SSL-Verschluesselung , was sich aber laut Aussage der Paket-Betreuer
demnaechst aendern wird.
> Was danach kommt ist mir relativ klar:
> 3. /etc/nsswitch.conf mit
> /usr/share/doc/libnss-ldap/examples/nsswitch.ldap ersetzen.
> 4. /etc/pam.d/* mit den Versionen aus
> /usr/share/doc/libpam-ldap/examples/pam.d/* ersetzen ...
Vom Prinzip her schon.
Ich empfehle dir "gq" zu installieren, damit hast du einen guten
Ueberblick ueber dein LDAP-Verzeichnis und kannst kleinere Aenderungen
gleich durchfuehren.
--
Gruss
Jens Stark
Reply to: