форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Открытые системы на сервере (Public)
Изначальное сообщение		[ Отслеживать ]

"Настройка OpenLDAP (для использования с Samba)."		+/–
Сообщение от stakado (ok) on 28-Янв-10, 14:47
Здравствуйте! Не могу разобраться с правами для доступа к LDAP'у различных служб. Для настройки использую smbldap-tools, тут в общем-то и проблема (хотя, как мне кажется, проблема не в нем, а в настройках прав доступа к ldap'у). Настраивал всё по хау-ту с сайта smbldap-tools: http://www.iallanis.info/smbldap-tools/docs/samba-ldap-howto Для smbldap-tools в ldap создан соответствующий пользователь: # smbldap-tools, DSA, public.polymer dn: cn=smbldap-tools,ou=DSA,dc=public,dc=polymer objectClass: organizationalRole objectClass: top objectClass: simpleSecurityObject cn: smbldap-tools Для него задан пароль: [root@zeus openldap]# ldappasswd -x -h localhost -D "cn=ldapadmin,dc=public,dc=polymer" -s qqq -W cn=smbldap-tools,ou=DSA,dc=public,dc=polymer Enter LDAP Password: Этот же пользователь и пароль указаны в smbldap_bind.conf: [root@zeus openldap]# cat /etc/smbldap-tools/smbldap_bind.conf slaveDN="cn=smbldap-tools,ou=DSA,dc=public,dc=polymer" slavePw="qqq" masterDN="cn=smbldap-tools,ou=DSA,dc=public,dc=polymer" masterPw="qqq" Используя smbldap-tools unix-пользователи создаются и удаляются нормально: [root@zeus openldap]# smbldap-useradd foo [root@zeus openldap]# smbldap-userdel foo При попытки изменить пароль пользователя ругается: [root@zeus openldap]# smbldap-passwd foo Changing UNIX password for foo New password: Retype new password: Failed to modify UNIX password: Insufficient access at /usr/sbin/smbldap-passwd line 285, <STDIN> line 2. Если же заменить в smbldap_bind.conf пользователя на ldapadmin, то пароли задаются нормально. Так же при использовании пользователя smbldap-tools не получается создать учетную запись для самбы, под ldapadmin этих проблем снова нет. Т.е. где-то что-то напутано в правах доступа. Вроде всё выдано, не пойму чего не хватает. Подскажите, пожалуйста, что напутал с правами (если дело в них) или что вообще не так делаю?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Настройка OpenLDAP (для использования с Samba)."		+/–
Сообщение от stakado (ok) on 28-Янв-10, 14:47
Конфиги slapd.conf, где разруливаются права для этого и других пользователей: [root@zeus openldap]# cat slapd.conf include         /usr/share/openldap/schema/core.schema include         /usr/share/openldap/schema/cosine.schema include         /usr/share/openldap/schema/inetorgperson.schema include         /usr/share/openldap/schema/nis.schema include         /usr/share/openldap/schema/samba.schema database        bdb directory       /home/services/ldap suffix          "dc=public,dc=polymer" rootdn          "cn=ldapadmin,dc=public,dc=polymer" rootpw          zzz index           objectClass,uidNumber,gidNumber                         eq index           cn,sn,uid,displayName                                   pres,sub,eq index           memberUid,mail,givenname                                eq,subinitial index           sambaSID,sambaPrimaryGroupSID,sambaDomainName           eq access to attrs=userPassword,sambaLMPassword,sambaNTPassword         by self write         by anonymous auth         by * none logfile         /home/temp/slapd.log loglevel        256 include         /etc/openldap/slapd.access.conf ======================================================= [root@zeus openldap]# cat slapd.access.conf # users can authenticate and change their password access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange         by dn="cn=samba,ou=DSA,dc=public,dc=polymer" write         by dn="cn=smbldap-tools,ou=DSA,dc=public,dc=polymer" write         by dn="cn=nssldap,ou=DSA,dc=public,dc=polymer" write         by self write         by anonymous auth         by * none # some attributes need to be readable anonymously so that 'id user' can answer correctly access to attrs=objectClass,entry,homeDirectory,uid,uidNumber,gidNumber,memberUid         by dn="cn=samba,ou=DSA,dc=public,dc=polymer" write         by dn="cn=smbldap-tools,ou=DSA,dc=public,dc=polymer" write         by * read # somme attributes can be writable by users themselves access to attrs=description,telephoneNumber,roomNumber,homePhone,loginShell,gecos,cn,sn,givenname         by dn="cn=samba,ou=DSA,dc=public,dc=polymer" write         by dn="cn=smbldap-tools,ou=DSA,dc=public,dc=polymer" write         by self write         by * read # some attributes need to be writable for samba access to attrs=cn,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaLogonTime,sambaLogoffTime,sambaKickoffTime, \ sambaPwdCanChange,sambaPwdMustChange,sambaAcctFlags,displayName,sambaHomePath,sambaHomeDrive,sambaLogonScript, \ sambaProfilePath,description,sambaUserWorkstations,sambaPrimaryGroupSID,sambaDomainName,sambaMungedDial, \ sambaBadPasswordCount,sambaBadPasswordTime,sambaPasswordHistory,sambaLogonHours,sambaSID,sambaSIDList, \ sambaTrustFlags,sambaGroupType,sambaNextRid,sambaNextGroupRid,sambaNextUserRid,sambaAlgorithmicRidBase, \ sambaShareName,sambaOptionName,sambaBoolOption,sambaIntegerOption,sambaStringOption,sambaStringListoption         by dn="cn=samba,ou=DSA,dc=public,dc=polymer" write         by dn="cn=smbldap-tools,ou=DSA,dc=public,dc=polymer" write         by self read         by * none # samba need to be able to create the samba domain account access to dn.base="dc=public,dc=polymer"         by dn="cn=samba,ou=DSA,dc=public,dc=polymer" write         by dn="cn=smbldap-tools,ou=DSA,dc=public,dc=polymer" write         by * none # samba need to be able to create new users account access to dn="ou=Users,dc=public,dc=polymer"         by dn="cn=samba,ou=DSA,dc=public,dc=polymer" write         by dn="cn=smbldap-tools,ou=DSA,dc=public,dc=polymer" write         by * none # samba need to be able to create new groups account access to dn="ou=Groups,dc=public,dc=polymer"         by dn="cn=samba,ou=DSA,dc=public,dc=polymer" write         by dn="cn=smbldap-tools,ou=DSA,dc=public,dc=polymer" write         by * none # samba need to be able to create new computers account access to dn="ou=Computers,dc=public,dc=polymer"         by dn="cn=samba,ou=DSA,dc=public,dc=polymer" write         by dn="cn=smbldap-tools,ou=DSA,dc=public,dc=polymer" write         by * none # this can be omitted but we leave it: there could be other branch # in the directory access to *         by self read         by * none
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Настройка OpenLDAP (для использования с Samba)."		+/–
Сообщение от ALex_hha (ok) on 28-Янв-10, 16:59
Я использую http://contribs.martymac.org/ldapscripts/ldapscripts-1.9.0.tgz. Удобнее, имхо
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Настройка OpenLDAP (для использования с Samba)."		+/–
	Сообщение от stakado (ok) on 28-Янв-10, 17:12
	>Я использую http://contribs.martymac.org/ldapscripts/ldapscripts-1.9.0.tgz. Удобнее, имхо Судя по моим рассуждениям дело тут не в smbldap-tools, а именно в настройках прав в _самом_ ldap'е. И соответственно не важно какими средствами манипулировать этим ldap'ом. Но за ссылку тем не менее спасибо, ща посмотрю, может и вправду ldapscripts поинтереснее будут, чем smbldap-tools.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема