configurare ldap

[young]

Sto cercando del materiale (possibilmente in italiano) dove è spiegato come configurare una rete con LDAP (dall'autenticazione degli utenti alla gestione delle cartelle personali e delle risorse). Vorrei evitare di utilizzare Windows 2000 server e Active Directory (il mio desiderio sarebbe,infatti, riuscire ad ottenere le stesse funzionalità con linux).

[kingv]

non ho link su documentazione sotto mano ma se hai domande fai pure, l'ho implementato diverse volte

[young]

Ho installato openldap-server e gq come interfaccia grafica per la gestione di Ldap. Sono ancora agli inizi e non so come procedere oltre: come creare gli utenti e come assegnare ad essi i permessi. Come si creano gli utenti per Ldap(utilizzo Redhat 9 e fino ad oggi ho utilizzato l'utility contenuta nella distribuzione)?

[kingv]

butta via gq che e' terribile.

un ottimo opensource e' jxplorer ( http://pegacat.com/jxplorer/) anche se e' in java e quindi un po' pesantuccio.

scaricati e installati pam_ldap e nss_ldap da www.padl.com , poi andiamo avanti

[young]

Sono ancora fermo all'installazione di jxplorer: ho installato Java VM ma il pacchetto di installazione di jxplorer non la trova (ho scaricato l'installer di jxplorer). Per la verità non la trova neanche il browser Mozilla. Eppure sul menu dei programmi è regolarmente presente Java Web Start. Spero di riuscire a risolvere la situazione al più presto.

[young]

Ho terminato l'installazione dei pacchetti che mi hai consigliato. Dopo essere riuscito ad attivare la Java VM ho installato jxplorer e pam_ldap e nss_ldap (anche se non sono riuscito a trovare la directory dove questi ultimi sono stati installati). Attendo tue istruzioni.

[kingv]

eccomi


se hai fatto make && make install di nss_ldap e pam_ldap dovresti trovare in /lib/security il file pam_ldap.so e in /lib un file libnss_ldap.x.y.z.so

i file di configurazione di default sono:

/etc/nsswitch.conf per nss_ldap
/etc/openldap/ldap.conf e i vari file in /etc/pam.d/ per pam_ldap

[kingv]

ora creati un file ldif che assomigli a questo:

Codice:

dn:dc=tuo dominio, dc=com
objectclass: top
objectclass: organizationalUnit


dn:ou=groups, dc=tuo dominio, dc=com
objectclass: top
objectclass: organizationalUnit
ou: groups

dn:ou=people, dc=tuo dominio, dc=com
objectclass: top
objectclass: organizationalUnit
ou: people

dn: cn=tuo id, ou=people, dc=yourorg, dc=com
cn: nome cognome
sn: cognome
objectclass: top
objectclass: person
objectclass: posixAccount
objectclass: shadowAccount
uid:tuo id
userpassword:{crypt}questa prendila da /etc/shadow
uidnumber:110
gidnumber:110
loginShell:/bin/bash
homeDirectory: /home/tua id


dn: cn=users, ou=groups, dc=yourorg, dc=com
objectclass: top
objectclass: posixGroup
cn: users
gidnumber: 110
memberuid: tua id

e importalo dentro openldap con jxplorer oppure con ldapadd a riga di comando

[kingv]

attenzione

prima di andare avanti lasciati una shell di root aperta su qualche console, non c'e' niente di piu' facile di sbagliare e segarsi la possibilita' di fare login



poi modifica /etc/nsswitch.conf :

passwd: files ldap
group: files ldap
shadow: files ldap

[kingv]

ora modifica /etc/openldap/ldap.conf:

Codice:

host  localhost
base dc=tuo dominio, dc=com
# se non usi il bind anonimo creati un utente con le acl per vedere i rami che abbiamo creato prima e inseriscilo nelle due righe qui sotto
#binddn cn=manager,dc=tuo dominio, dc=com
#bindpw managerpwd

port 389#

pam_filter objectclass=posixAccount

pam_login_attribute uid

pam_groupdn ou=groups,dc=padl,dc=com

pam_member_attribute memberuid

[kingv]

e poi andiamo avanti...

[young]

Nel file ldif quando indichi "tua id" ti riferisci all'utente normale, cioè quello con cui lavoro, vero? Ho provato ad importarlo ma mi da il seguente errore:

javax.naming.NameNotFoundException: [LDAP:error code 32-No such object];
remaining Name
'cn=users, ou=groups,,dc=yourorg,dc=com'

[kingv]

Quote:

Originariamente inviato da young
Nel file ldif quando indichi "tua id" ti riferisci all'utente normale, cioè quello con cui lavoro, vero? Ho provato ad importarlo ma mi da il seguente errore:

javax.naming.NameNotFoundException: [LDAP:error code 32-No such object];
remaining Name
'cn=users, ou=groups,,dc=yourorg,dc=com'

si l'id e' quella dell'utente.

scusa ma nella fretta ho scritto una sciocchezza, correggi ldif:

Codice:

dn:dc=tuo dominio, dc=com
objectclass: top
objectclass: organizationalUnit


dn:ou=groups, dc=tuo dominio, dc=com
objectclass: top
objectclass: organizationalUnit
ou: groups

dn:ou=people, dc=tuo dominio, dc=com
objectclass: top
objectclass: organizationalUnit
ou: people

dn: cn=tuo id, ou=people, dc=tuo dominio, dc=com
cn: nome cognome
sn: cognome
objectclass: top
objectclass: person
objectclass: posixAccount
objectclass: shadowAccount
uid:tuo id
userpassword:{crypt}questa prendila da /etc/shadow
uidnumber:110
gidnumber:110
loginShell:/bin/bash
homeDirectory: /home/tua id

dn: cn=users, ou=groups, dc=tuo dominio, dc=com
objectclass: top
objectclass: posixGroup
cn: users
gidnumber: 110
memberuid: tua id

modifica "tuo dominio" e "tuo id" con quelli del caso.

[young]

Mi restituisce sempre lo stesso errore

Unable to perform list

Ho notato che appena entrato in JXplorer e connesso ad ldap (file - connect, come Anonymous)mi compaiono questi errori:

Unable to list sub entries

Details:
javax.naming.NameNotFoundException: [LDAP:error code 32-No such object];
remaining Name 'dc=my-domain,dc=com'

e

Failed to read attributes for dc=my-domain,dc=com in BasicOps.read()

Details:
javax.naming.NameNotFoundException: [LDAP:error code 32-No such object];
remaining Name 'dc=my-domain,dc=com'

[kingv]

hai creato il suffisso "dc=my-domain,dc=com'" in openldap?

[young]

Non ho modificato alcun parametro in ldap dopo l'installazione. Dove va modificato o inserito quel parametro?

[kingv]

Quote:

Originariamente inviato da young
Non ho modificato alcun parametro in ldap dopo l'installazione. Dove va modificato o inserito quel parametro?

in /etc/openldap/slapd.conf

cerca le righe che iniziano con "suffix", aggiungi la tua e riavvia il server

[young]

E' già presente:

database ldbm
suffix "dc=my-domain,dc=com"
#suffix "o=My Organization Name,c=US"
rootdn "cn=Manager,dc=my-domain,dc=com"
#rootdn "cn=Manager,o=My Organization Name,c=US"
# Cleartext passwords, especially for the rootdn, should
# be avoided. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
# rootpw secret
# rootpw {crypt}ijFYNcSNctBYg
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd/tools. Mode 700 recommended.
directory /var/lib/ldap
# Indices to maintain
index objectClass,uid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitial
# Replicas to which we should propagate changes
#replica host=ldap-1.example.com:389 tls=yes
# bindmethod=sasl saslmech=GSSAPI
# authcId=host/[email protected]

[kingv]

ok, se e' gia' presente hai modificato il file ldif per utilizzare quel suffisso?

dove c'e' scritto nel file dc=tuo dominio, dc=com

devi mettere

dc=my-domain,dc=com


se non funziona prova a creare a mano con jxplorer dc=my-domain,dc=com e vedi cosa ti risponde

[young]

Ho modificato il file ldif con il suffisso my-domain ma nulla è cambiato. Ho poi provato a creare a mano come mi hai detto my-domain in jxplorer . Nella finestra di destra compaiono, in una struttura ad albero, World, com e my-domain. Ho fatto clic con il destro su my domain e ho scelto 'New'. Sul campo Parent DN c'era dc=my-domain,dc=com, l'ho tolto e l'ho inserito su 'Enter RDN'. Si è aperta la tabella con una serie di parametri. Se lo riapro non ritovo quello che ho inserito. Ho l'impressione di aver effettuato una procedura sbagliata.