Первый сервер OES2 SP2 в дереве NDS или купила баба порося

[Dimerson]

subj. в сети несколько NW60 (8.7.3.9) на 4-х реплики R/W 1 без реплики и один 6.5 (8.7.3.10) без реплики. для непосвященного в сети появился сервер с edir 88 sp5 с неизвестным типом timesync (не мастер и не слейв - ntp берет время с того же источника что и SingleReference.

на oes пока нет реплики никакой . посему вопрос - жизненно ли необходима реплика или нет ? пока долго не тестил , заметил что httpstk не пускает .admin.context (LUM, точнее его Пам модуль не может аутентифицировать) .... ну и с удивлением обнаружил что в моем дереве не ходит iManager 2.7 (всеь пропатченный) к NSS - ругается на невалидного CIMOM юзера.

пока в голове происходит разбор полетов. думать будем в понедельник.

upd - lum->nam

[Dimerson]

пока сижу на больничном.

на сервер добавлена реплика r/w

поправлен адрес preffered сервера в /etc/nam.conf
та же строка вписана в /etc/sysconfig/novell/lum2_sp2

namconf -k

файл - сертификат появилсо

rcnamcd restart

эффект нулевой в плане логина admin.context в remote manager

Код: Выделить всё

Sep 13 10:46:36 oes2 httpstkd[4416]: PAM_NAM: User admin.context unknown to the authentication module
Sep 13 10:46:36 oes2 httpstkd[4416]: PAM_NAM: User admin unknown to the authentication module

парсинг support.novell.com не помог

народ - нужен крутой траблшутинг LUM ;((( Заранее спасибо.

[capricious]

id admin что говорит ?

[Dimerson]

id admin , getent passwd | grep admin идт ничего не говорят

ldapsearch -x -h ip addess -b o=context cn=admin выдает дупликатед cn=admin.o=tomcat_roles.o=context

при переименовке cn=admin в cn=admins (группы в tomcat roles i mean) ее перестает отдавать по ldapsearch но юзера с ст=admin так и не отдает

[capricious]

его admin надо сделать linux enabled , там есть такое в меню Linux User Management

[capricious]

а вообще сделайти любого нового юзера
дайте ему супевизора на сервер
сделайте его линукс инэйблд

ldapserach под аниномусом должен находить этого юзера , если нет то lum надо сконфигурить с прокси юзером а проски юзеру дать права browse на контескт с new_user

id new_user должно проходить

и все заработает (nrm)

[Dimerson]

admin lum enabled. наверное что-то справами для public ...

проблема с анонимным биндом . буду резать прокси юзверя по выздоровлению

все не так просто. прав вроде хватает - проверено согласно
http://www.google.ru/url?sa=t&source=we ... mQ&cad=rjt

тем не менее не видит луминизированного админа лдапсечем.

курим дальше

в общем как-то все не так.

1. как уже писал id admin обламывается
2. похоже по этолй же причине не пускает nrm и nss snapin for imanager 2.7 говорит что cimom user таки неполноценный


если делать ldapsearch cn=admin анонимно получаем ldaptrace

Код: Выделить всё

1243056448 LDAP: [2010/09/13 20:49:13.804] (192.168.100.205:38496)(0x0002:0x63) DoSearch on connection 0xe130340
1243056448 LDAP: [2010/09/13 20:49:13.804] (192.168.100.205:38496)(0x0002:0x63) Search request:
        base: "o=tpsb"
        scope:2  dereference:0  sizelimit:0  timelimit:0  attrsonly:0
        filter: "(cn=admin)"
        no attributes
1243056448 LDAP: [2010/09/13 20:49:13.804] (192.168.100.205:38496)(0x0002:0x63) Empty attribute list implies all user att
ributes
1243056448 LDAP: [2010/09/13 20:49:13.804] (192.168.100.205:38496)(0x0002:0x63) Sending search result entry "cn=admin,ou=
Tomcat-Roles,o=TPSB" to connection 0xe130340
1243056448 LDAP: [2010/09/13 20:49:13.804] (192.168.100.205:38496)(0x0002:0x63) Sending operation result 0:"":"" to conne
ction 0xe130340
1092659520 LDAP: [2010/09/13 20:49:13.804] (192.168.100.205:38496)(0x0003:0x42) DoUnbind on connection 0xe130340
1092659520 LDAP: [2010/09/13 20:49:13.804] Connection 0xe130340 closed

есл делать ldapsearch cn=amin пользователем edir с именем админ картина другая

Код: Выделить всё

1102133568 LDAP: [2010/09/13 20:51:14.708] (192.168.100.205:45146)(0x0002:0x63) Activating pending operation 0x2:0x63 on
connection 0xddab9c0
1105291584 LDAP: [2010/09/13 20:51:16.379] New cleartext connection 0xe130340 from 192.168.100.205:38378, monitor = 0x4ec
1a940, index = 9
1204980032 LDAP: [2010/09/13 20:51:16.379] (192.168.100.205:38378)(0x0001:0x60) DoBind on connection 0xe130340
1204980032 LDAP: [2010/09/13 20:51:16.379] (192.168.100.205:38378)(0x0001:0x60) Bind name:cn=admin,o=tpsb, version:3, aut
hentication:simple
1204980032 LDAP: [2010/09/13 20:51:16.379] (192.168.100.205:38378)(0x0001:0x60) Sending operation result 0:"":"" to conne
ction 0xe130340
1245161792 LDAP: [2010/09/13 20:51:16.379] (192.168.100.205:38378)(0x0002:0x63) DoSearch on connection 0xe130340
1245161792 LDAP: [2010/09/13 20:51:16.379] (192.168.100.205:38378)(0x0002:0x63) Search request:
        base: "o=tpsb"
        scope:2  dereference:0  sizelimit:0  timelimit:0  attrsonly:0
        filter: "(cn=Admin)"
        no attributes
1245161792 LDAP: [2010/09/13 20:51:16.380] (192.168.100.205:38378)(0x0002:0x63) Empty attribute list implies all user att
ributes
1245161792 LDAP: [2010/09/13 20:51:16.381] (192.168.100.205:38378)(0x0002:0x63) Sending search result entry "cn=Admin,o=T
PSB" to connection 0xe130340
1245161792 LDAP: [2010/09/13 20:51:16.381] (192.168.100.205:38378)(0x0002:0x63) Sending search result entry "cn=admin,ou=
Tomcat-Roles,o=TPSB" to connection 0xe130340
1245161792 LDAP: [2010/09/13 20:51:16.381] (192.168.100.205:38378)(0x0002:0x63) Sending operation result 0:"":"" to conne
ction 0xe130340
1312893248 LDAP: [2010/09/13 20:51:16.381] (192.168.100.205:38378)(0x0003:0x42) DoUnbind on connection 0xe130340
1312893248 LDAP: [2010/09/13 20:51:16.381] Connection 0xe130340 closed

обкуриваем все дальше

upd: вариантов 2 - либо править права для [public] примерно как в чисто поставленном NW65/EDIR885 - ибо наше дерево создавалось в
NW4.01 (это была жесть) -> 4.1 -> 4.11->6.0-- и вот сейчас -->OES2SP2.

либо резать прокси юзверя и давать ему права. Я пока склоняюсь к варианту 1 ибо как пишут прокси юзверь должен быть беспарольный
(и какие тогда тут приемущества в безопасности ?). Кроме того чем меньше сущностей тем лучше работает.

[capricious]

ибо как пишут прокси юзверь должен быть беспарольный


прокси юзер для lum парольный

[Dimerson]

спасибо . значит беспарольный это для голого LDAP доступа. через /etc/ldap.conf А не NAM LUM.

Тогда с секретностью чуть лучше. Приму это как план Б.

Проблема таки прояснилась. лдап браузер в чистопоставленном дереве видит все что надо анонимным биндом.
В рабочем (над которым бьемсо) только конетйнер tomcat_roles с содержимым, обьекты BM и лицензии. Лдап браузер админом видит вообще все

Посему исходя из того что надо бороться с причиной а не следствием ищу тид как выправить дефолтовые права на [public] для анонимного ldapsearch. Дерево рабочее. Ошибки чреваты. Тид пока по делу не нарыл. Может есть рекомендации Ведущих Собаководов (TM) ?

upd:
утро вечера мудренее TID 7005782

сравнение Trustees of [Root] на [Public] показало что в проблемном дереве Object rignts пустые хоть и Inheritable .

в эталонном дереве Object rights [Public] на [Root] - Browse & Inheritable.

для ou=Tomcat_Roles и прочего что просматривается анонимным биндом лдапсеча добавлен browse в objrect rights от [Public].

единственное что в отличии от TID 7005782 дефолтовые Property Rights [Public] на [Root] для All Properties выбраны не только Browse & Compare а стоят все - SCRWAI. I mean в эталонном дереве.

Получается можно совсем убить права [Public] на [Root] заюзать прокси-юзера и это не вызовет проблем . Потом проверим.

[Владимир Горяев]

что нашлось в закладках, если еще надо
Cool Solutions: How to Verify Default Rights in NDS
Rights Assignment Recommendations: Part 2

[capricious]

все жду кто же первый "убить права [Public] на [Root] " )


ибо у меня это тоже актуально, давно пора завязывать с этим пабликом

[Dimerson]

они и так убиты уже - все крыжики сняты кроме [v] inheritable

и так пустота и наследуется - чутог обьектофф с прямым назначением browse отсвечивают анонимусу ака [public]

и все работает кроме некоторого количества софта (см первое письмо)

тем не менее - почему доступ через паблик есть по дефолту ? а не более секурный путь через proxy юзера ? может в этом великая мормонская тайна ?

ну увидит анонимус Full Name или Given Name юзверей ... имхо более страшного ничего не будет зато все упрощается.

[capricious]

http://www.novell.com/support/php/searc ... 2084108823

Document Title: Removing Public as a trustee of Root - Implications
Document ID: 10026672
Solution ID: 1.0.55592219.2536876
Creation Date: 14Feb2000
Modified Date: 01Feb2003
Novell Product Class: NetWare

[Dimerson]

спасибо . склонился к сn=lum-poxy,o=context . нарезал. прописал через namconfig set и вуаля - id admin отдаетсо

id admin
uid=601(admin) gid=601(admingroup) groups=601(admingroup)

покурю тиды - дочищу анонимны доступ совсем

UPD: при работе локальным imanager 2.7 с этого oes2 server'а теперь не ругается на невалидность cimom пользователя admin при рулении NSS ))