Am Montag, 26. September 2005 23:14 schrieb Mag. Leonhard Landrock:
> Hallo beisammen!
>
> Ich versuche mich gerade mit OpenLDAP. Mein Ziel ist
> Benutzauthentifizierung unter Linux (Debian GNU/Linux 3.1 Sarge) und
> (später) SAMBA.
[...]
> 7.) Erweiterte Konfiguration von slapd
> /etc/ldap/slapd.conf => Eintrag für "misc.schema" hinzufügen.
> 8.) Konfiguriere libnss-ldap
> 9.) Konfiguriere libpam-ldap
hierfür brauchst du imho eine rootbinddn Einstellung in
der /etc/pam_ldap.conf
denn spätestens beim Passwort Wechsel durch root muss pam als ldap-Root
Zugriff auf das Ldap haben. Für das reine Authorisieren ist's
eigentlich nicht notwendig.
z.B.
rootbinddn cn=admin,dc=example,dc=org
Kommentare dazu (und wo das Passwort hin muss) stehen in der Bsp. Conf.
Ich habe die root-dn übrigens sowohl in
/etc/ldap/ldap.conf
/etc/pam_ldap.conf
/etc/libnss-ldap.conf
festgelegt, wobei libnss-ldap wohl unnötig, weil nie gebraucht, ist.
ldap.conf ist dann später für die Samba Werkzeuge (und wer sonst noch
ldap incl. ldap-root access verwenden soll) notwendig.
Desweiteren fallen mir noch die Zugriffsrechte auf das Passwort Attribut
im LDAP ein und ich glaube hier ist auch der Hunde begraben.
Wie sieht denn die Einstellung dazu in /etc/ldap/slapd.conf aus?
Sollte in etwas so aussehen:(wenn deine Attribute im LDAP genauso
heißen)
access to attribute=userPassword,sambaLMPassword,sambaNTPassword
by dn="cn=admin,dc=example,dc=org" write
by self write
by anonymous auth
by * none
Für den gesamten Vorgang, inklusive Samba als PDC gabs/gibts auch ein
sehr gutes Debian-spezifisches Howto. Hab die URL gerade nicht zur Hand,
sollte mit google aber hoffentlich noch auffindbar sein.
Ich such aber nochmal danach und liefere sie im Erfolgsfall noch nach :)
--
Markus Schulz
This is Linux Land-
In silent nights you can hear the windows machines rebooting