Страница 1 из 3

Авторизация через Novell LDAP

СообщениеДобавлено: 14 июн 2005, 08:29
Сулейменов Олжас
Как организовать авторизацию пользователей через Novell LDAP?

Подскажите начинающему... :roll:

СообщениеДобавлено: 14 июн 2005, 10:42
Иван Левшин aka Ivan L.
Неплохо было бы узнать - в каком приложении :)

СообщениеДобавлено: 14 июн 2005, 11:11
Сулейменов Олжас
Иван Левшин aka Ivan L. писал(а):Неплохо было бы узнать - в каком приложении :)


Схема такая - Suse Linux с OES. На нем Kerio MailServer.
Вот пользователи, входящие на Керио и должны получать подтверждение об авторизации в дереве для доступа к почтовому ящику.

СообщениеДобавлено: 15 июн 2005, 13:57
Сулейменов Олжас
Ладно упрощаю вопрос... :)

Как прикрутить сертификат в SuSe для доступа к LDAP по SSL?
Сам сертифика, разумеется есть.

СообщениеДобавлено: 15 июн 2005, 18:26
Иван Левшин aka Ivan L.
Может стоит перенести тему в раздел Unix? Миша Григорьев вроде занимался вопросами коннекта по 639 порту на юниксе - нвстат-то работает у него как-то по защищенному ЛДАП :)

СообщениеДобавлено: 16 июн 2005, 09:01
Сулейменов Олжас
Иван Левшин aka Ivan L. писал(а):Может стоит перенести тему в раздел Unix? Миша Григорьев вроде занимался вопросами коннекта по 639 порту на юниксе - нвстат-то работает у него как-то по защищенному ЛДАП :)


Так... перенесли... ответов так и нет... :)

СообщениеДобавлено: 16 июн 2005, 10:52
Михаил Григорьев
Сулейменов Олжас писал(а):Так... перенесли... ответов так и нет... :)


Отвечаю... Как могу...

Этапы настройки:
1. Настраиваем PAM_LDAP и NSS_LDAP
2. Настраиваем систему шифрования SSL
3. Настраиваем eDirectory

Каждый пункт очень важен и пока с уверенностью не заработает 1-й, ко 2-му смысла переходить нет.

По настройке PAM_LDAP и NSS_LDAP есть куча статей, допустим у меня на FreeBSD и PAM_LDAP и NSS_LDAP обращаются к серверу OpenLDAP по SSL.

Для начала чтим мою статью:
Организация безопасного соединения LDAP-клиента с OpenLDAP-сервером с использованием SSL/TLS

Написано для FreeBSD, но в Linux отличия небольшие. Главное понять принципы !!!

Для начала нужно заставить чтобы ldapsearch обращался в NW по SSL, как только такое заработает, то двигаемся к настройке PAM_LDAP и NSS_LDAP.

Какие здесь есть грабли. Их масса. Для простоты привожу конфиги PAM_LDAP и NSS_LDAP с системы FreeBSD (Подчёркиваю !!!! Я коннекчусь LDAP клиентом к серверу OpenLDAP):

Файл /usr/local/etc/ldap.conf

Код: Выделить всё
host ldap.mydomain.ru
base ou=Users,o=MyORG,c=RU
ldap_version 3
rootbinddn cn=Manager,o=MyORG,c=RU
port 636
scope one
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute gid
pam_template_login_attribute uid
ssl on
tls_checkpeer no
tls_cacertfile /usr/local/etc/openldap/ssl/ldap/ca.cert
tls_cacertdir /usr/local/etc/openldap/ssl/ldap


Файл /usr/local/etc/ldap.secret
Там лежит пароль юзера cn=Manager,o=MyORG,c=RU

Файл /usr/local/etc/nss_ldap.conf
Код: Выделить всё
host ldap.mydomain.ru
base o=MyORG,c=RU
ldap_version 3
rootbinddn cn=Manager,o=MyORG,c=RU
port 636
scope sub
nss_base_passwd      ou=Users,o=MyORG,c=RU?one
nss_base_shadow      ou=Users,o=MyORG,c=RU?one
nss_base_group      ou=Groups,o=MyORG,c=RU?one
nss_base_hosts      ou=Computers,o=MyORG,c=RU?one
ssl on
tls_checkpeer no
tls_cacertfile /usr/local/etc/openldap/ssl/ldap/ca.cert
tls_cacertdir /usr/local/etc/openldap/ssl/ldap


Файл /usr/local/etc/nss_ldap.secret
Там лежит пароль юзера cn=Manager,o=MyORG,c=RU

Файл /etc/nsswitch.conf
Код: Выделить всё
passwd:     files ldap
shadow:     files ldap
group:      files ldap
hosts:      dns files ldap


В файл /etc/pam.d/ftp
добавлено
Код: Выделить всё
auth            sufficient      pam_ldap.so


В итоге у нас можно заходить на FTP под юзером которого в системе нет и в помине, если нужно заходить через SSH или с консоли и т.д. то правим соответствующие файлы в /etc/pam.d/

ПОВТОРЯЮ !!!! Это настройки под FreeBSD и OpenLDAP, под Linux и NW_LDAP изменения незначительны.

Была бы под руками NW и Linux я бы с радостью настроил на них всё как нужно и рассказал, я это уже делал с год назад, всё работало.

Олжас вы пытаетесь настроить всё и сразу, так оно работать не будет, нужно настраивать поэтапно и со 100% проверкой работоспособности этих этапов.

СообщениеДобавлено: 20 июн 2005, 19:40
Andrey Karyagin
Статья "Integrating Novell Linux Desktop into a Novell NetWare network" с некоторой дополнительной информацией доступна здесь:
http://www.novell.com/coolsolutions/trench/15201.html

СообщениеДобавлено: 22 июн 2005, 11:15
Сулейменов Олжас
Andrey Karyagin писал(а):Статья "Integrating Novell Linux Desktop into a Novell NetWare network" с некоторой дополнительной информацией доступна здесь:
http://www.novell.com/coolsolutions/trench/15201.html


Не все атрибуты нашел...

Вот этих нет в принципе...

dc
Description
gecos
gidNumber
loginShell
memberUid

СообщениеДобавлено: 22 июн 2005, 13:32
Иван Левшин aka Ivan L.
В свойствах то ли LDAP Group, то ли LDAP Server есть настройка соответствия атрибутов ЛДАП атрибутам NDAP. Может там посмотреть?

СообщениеДобавлено: 22 июн 2005, 14:04
Сулейменов Олжас
и еще - в ТИДе написано не создавать пароль для прокси-юзера, а LUM в SuSe отказывается работать с пустым паролем
:(

СообщениеДобавлено: 22 июн 2005, 14:12
Сулейменов Олжас
Иван Левшин aka Ivan L. писал(а):В свойствах то ли LDAP Group, то ли LDAP Server есть настройка соответствия атрибутов ЛДАП атрибутам NDAP. Может там посмотреть?


там часть есть, но их не видно при добавлении прав, а часть я добавил, но их тоже не видно...

СообщениеДобавлено: 22 июн 2005, 20:32
Иван Левшин aka Ivan L.
не видно - откуда? чем смотрим-то? я для просмотра ЛДАП пользую ldapbrowser.

СообщениеДобавлено: 27 июн 2005, 08:45
Андрей Тр. aka RH
Иван Левшин aka Ivan L. писал(а):не видно - откуда? чем смотрим-то? я для просмотра ЛДАП пользую ldapbrowser.
Это который Softerra ldap browser ? Чего-то он у меня не коннектится .. только анонимусом :? Иван, ты сертификаты ему подсовывал, как в хелпе написано ( через Нетскейп их сохранять .. :roll: ) ?

Грит, confidentiality required ..

СообщениеДобавлено: 27 июн 2005, 11:38
Иван Левшин aka Ivan L.
Это LDAP Browser/Editor ver. 2.8.2 by Jarek Gawor (http://www.iit.edu/~gawor/ldap http://www.mcs.anl.gov/~gawor/ldap ). Никаких "подсовываний" не требует, по SSL работает прекрасно. Если не работает - значит в принципе не работает LDAPS :D