Авторизация через Novell LDAP

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Авторизация через Novell LDAP

Сообщение Сулейменов Олжас » 14 июн 2005, 08:29

Как организовать авторизацию пользователей через Novell LDAP?

Подскажите начинающему... :roll:
Аватара пользователя
Сулейменов Олжас
 
Сообщения: 281
Зарегистрирован: 17 июн 2003, 10:00
Откуда: г. Казань

Сообщение Иван Левшин aka Ivan L. » 14 июн 2005, 10:42

Неплохо было бы узнать - в каком приложении :)
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Сулейменов Олжас » 14 июн 2005, 11:11

Иван Левшин aka Ivan L. писал(а):Неплохо было бы узнать - в каком приложении :)


Схема такая - Suse Linux с OES. На нем Kerio MailServer.
Вот пользователи, входящие на Керио и должны получать подтверждение об авторизации в дереве для доступа к почтовому ящику.
Аватара пользователя
Сулейменов Олжас
 
Сообщения: 281
Зарегистрирован: 17 июн 2003, 10:00
Откуда: г. Казань

Сообщение Сулейменов Олжас » 15 июн 2005, 13:57

Ладно упрощаю вопрос... :)

Как прикрутить сертификат в SuSe для доступа к LDAP по SSL?
Сам сертифика, разумеется есть.
Аватара пользователя
Сулейменов Олжас
 
Сообщения: 281
Зарегистрирован: 17 июн 2003, 10:00
Откуда: г. Казань

Сообщение Иван Левшин aka Ivan L. » 15 июн 2005, 18:26

Может стоит перенести тему в раздел Unix? Миша Григорьев вроде занимался вопросами коннекта по 639 порту на юниксе - нвстат-то работает у него как-то по защищенному ЛДАП :)
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Сулейменов Олжас » 16 июн 2005, 09:01

Иван Левшин aka Ivan L. писал(а):Может стоит перенести тему в раздел Unix? Миша Григорьев вроде занимался вопросами коннекта по 639 порту на юниксе - нвстат-то работает у него как-то по защищенному ЛДАП :)


Так... перенесли... ответов так и нет... :)
Аватара пользователя
Сулейменов Олжас
 
Сообщения: 281
Зарегистрирован: 17 июн 2003, 10:00
Откуда: г. Казань

Сообщение Михаил Григорьев » 16 июн 2005, 10:52

Сулейменов Олжас писал(а):Так... перенесли... ответов так и нет... :)


Отвечаю... Как могу...

Этапы настройки:
1. Настраиваем PAM_LDAP и NSS_LDAP
2. Настраиваем систему шифрования SSL
3. Настраиваем eDirectory

Каждый пункт очень важен и пока с уверенностью не заработает 1-й, ко 2-му смысла переходить нет.

По настройке PAM_LDAP и NSS_LDAP есть куча статей, допустим у меня на FreeBSD и PAM_LDAP и NSS_LDAP обращаются к серверу OpenLDAP по SSL.

Для начала чтим мою статью:
Организация безопасного соединения LDAP-клиента с OpenLDAP-сервером с использованием SSL/TLS

Написано для FreeBSD, но в Linux отличия небольшие. Главное понять принципы !!!

Для начала нужно заставить чтобы ldapsearch обращался в NW по SSL, как только такое заработает, то двигаемся к настройке PAM_LDAP и NSS_LDAP.

Какие здесь есть грабли. Их масса. Для простоты привожу конфиги PAM_LDAP и NSS_LDAP с системы FreeBSD (Подчёркиваю !!!! Я коннекчусь LDAP клиентом к серверу OpenLDAP):

Файл /usr/local/etc/ldap.conf

Код: Выделить всё
host ldap.mydomain.ru
base ou=Users,o=MyORG,c=RU
ldap_version 3
rootbinddn cn=Manager,o=MyORG,c=RU
port 636
scope one
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute gid
pam_template_login_attribute uid
ssl on
tls_checkpeer no
tls_cacertfile /usr/local/etc/openldap/ssl/ldap/ca.cert
tls_cacertdir /usr/local/etc/openldap/ssl/ldap


Файл /usr/local/etc/ldap.secret
Там лежит пароль юзера cn=Manager,o=MyORG,c=RU

Файл /usr/local/etc/nss_ldap.conf
Код: Выделить всё
host ldap.mydomain.ru
base o=MyORG,c=RU
ldap_version 3
rootbinddn cn=Manager,o=MyORG,c=RU
port 636
scope sub
nss_base_passwd      ou=Users,o=MyORG,c=RU?one
nss_base_shadow      ou=Users,o=MyORG,c=RU?one
nss_base_group      ou=Groups,o=MyORG,c=RU?one
nss_base_hosts      ou=Computers,o=MyORG,c=RU?one
ssl on
tls_checkpeer no
tls_cacertfile /usr/local/etc/openldap/ssl/ldap/ca.cert
tls_cacertdir /usr/local/etc/openldap/ssl/ldap


Файл /usr/local/etc/nss_ldap.secret
Там лежит пароль юзера cn=Manager,o=MyORG,c=RU

Файл /etc/nsswitch.conf
Код: Выделить всё
passwd:     files ldap
shadow:     files ldap
group:      files ldap
hosts:      dns files ldap


В файл /etc/pam.d/ftp
добавлено
Код: Выделить всё
auth            sufficient      pam_ldap.so


В итоге у нас можно заходить на FTP под юзером которого в системе нет и в помине, если нужно заходить через SSH или с консоли и т.д. то правим соответствующие файлы в /etc/pam.d/

ПОВТОРЯЮ !!!! Это настройки под FreeBSD и OpenLDAP, под Linux и NW_LDAP изменения незначительны.

Была бы под руками NW и Linux я бы с радостью настроил на них всё как нужно и рассказал, я это уже делал с год назад, всё работало.

Олжас вы пытаетесь настроить всё и сразу, так оно работать не будет, нужно настраивать поэтапно и со 100% проверкой работоспособности этих этапов.
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Andrey Karyagin » 20 июн 2005, 19:40

Статья "Integrating Novell Linux Desktop into a Novell NetWare network" с некоторой дополнительной информацией доступна здесь:
http://www.novell.com/coolsolutions/trench/15201.html
Andrey Karyagin
 
Сообщения: 204
Зарегистрирован: 06 авг 2002, 15:56
Откуда: United Card Service

Сообщение Сулейменов Олжас » 22 июн 2005, 11:15

Andrey Karyagin писал(а):Статья "Integrating Novell Linux Desktop into a Novell NetWare network" с некоторой дополнительной информацией доступна здесь:
http://www.novell.com/coolsolutions/trench/15201.html


Не все атрибуты нашел...

Вот этих нет в принципе...

dc
Description
gecos
gidNumber
loginShell
memberUid
Аватара пользователя
Сулейменов Олжас
 
Сообщения: 281
Зарегистрирован: 17 июн 2003, 10:00
Откуда: г. Казань

Сообщение Иван Левшин aka Ivan L. » 22 июн 2005, 13:32

В свойствах то ли LDAP Group, то ли LDAP Server есть настройка соответствия атрибутов ЛДАП атрибутам NDAP. Может там посмотреть?
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Сулейменов Олжас » 22 июн 2005, 14:04

и еще - в ТИДе написано не создавать пароль для прокси-юзера, а LUM в SuSe отказывается работать с пустым паролем
:(
Аватара пользователя
Сулейменов Олжас
 
Сообщения: 281
Зарегистрирован: 17 июн 2003, 10:00
Откуда: г. Казань

Сообщение Сулейменов Олжас » 22 июн 2005, 14:12

Иван Левшин aka Ivan L. писал(а):В свойствах то ли LDAP Group, то ли LDAP Server есть настройка соответствия атрибутов ЛДАП атрибутам NDAP. Может там посмотреть?


там часть есть, но их не видно при добавлении прав, а часть я добавил, но их тоже не видно...
Аватара пользователя
Сулейменов Олжас
 
Сообщения: 281
Зарегистрирован: 17 июн 2003, 10:00
Откуда: г. Казань

Сообщение Иван Левшин aka Ivan L. » 22 июн 2005, 20:32

не видно - откуда? чем смотрим-то? я для просмотра ЛДАП пользую ldapbrowser.
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Андрей Тр. aka RH » 27 июн 2005, 08:45

Иван Левшин aka Ivan L. писал(а):не видно - откуда? чем смотрим-то? я для просмотра ЛДАП пользую ldapbrowser.
Это который Softerra ldap browser ? Чего-то он у меня не коннектится .. только анонимусом :? Иван, ты сертификаты ему подсовывал, как в хелпе написано ( через Нетскейп их сохранять .. :roll: ) ?

Грит, confidentiality required ..
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Иван Левшин aka Ivan L. » 27 июн 2005, 11:38

Это LDAP Browser/Editor ver. 2.8.2 by Jarek Gawor (http://www.iit.edu/~gawor/ldap http://www.mcs.anl.gov/~gawor/ldap ). Никаких "подсовываний" не требует, по SSL работает прекрасно. Если не работает - значит в принципе не работает LDAPS :D
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 20

cron