forum.opennet.ru - "FreeBSD аккаунты из AD" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"FreeBSD аккаунты из AD"

Форумы Samba, вопросы интеграции Unix и Windows (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"FreeBSD аккаунты из AD"
Сообщение от redduck on 07-Мрт-06, 04:32
Здравствуйте. FreeBSD + pam_ldap + nss_ldap ldapsearch -D "cn=administrator,cn=Users,dc=domen,dc=ru" -W -x -b "cn=Users,dc=domen,dc=ru" проходит нормально, пользователи показываются. И на этом застрял. id user пишет что нет такого пользователя. "/etc/nsswitch.conf" group: files ldap hosts: files dns networks: files passwd: files ldap shells: files /etc/pam.d/system # auth auth sufficient /usr/local/lib/pam_ldap.so no_warn try_first_pass auth sufficient pam_opie.so no_warn no_fake_prompts auth requisite pam_opieaccess.so no_warn allow_local #auth sufficient pam_krb5.so no_warn try_first_pass #auth sufficient pam_ssh.so no_warn try_first_pass auth required pam_unix.so no_warn try_first_pass nullok # account #account required pam_krb5.so account required pam_login_access.so account sufficient /usr/local/lib/pam_ldap.so account required pam_unix.so # session #session optional pam_ssh.so session optional /usr/local/lib/pam_ldap.so session required pam_lastlog.so no_fail # password #password sufficient pam_krb5.so no_warn try_first_pass password sufficient /usr/local/lib/pam_ldap.so no_warn try_first_pass password required pam_unix.so no_warn try_first_pass Файлы /usr/local/etc/ldap.conf и nss_ldap.conf настроены, если надо эти конфиги выложу.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

FreeBSD аккаунты из AD, Nyurgun, 05:35 , 07-Мрт-06, (1)

FreeBSD аккаунты из AD, redduck, 14:47 , 07-Мрт-06, (2)

FreeBSD аккаунты из AD, redduck, 15:36 , 08-Мрт-06, (3)

FreeBSD аккаунты из AD, redduck, 16:19 , 08-Мрт-06, (4)

FreeBSD аккаунты из AD, Nyurgun, 08:14 , 10-Мрт-06, (5)

FreeBSD аккаунты из AD, redduck, 12:51 , 10-Мрт-06, (6)

FreeBSD аккаунты из AD, Nyurgun, 14:15 , 10-Мрт-06, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "FreeBSD аккаунты из AD"

Сообщение от Nyurgun on 07-Мрт-06, 05:35

>Здравствуйте.
>FreeBSD + pam_ldap + nss_ldap
>ldapsearch -D "cn=administrator,cn=Users,dc=domen,dc=ru" -W -x -b "cn=Users,dc=domen,dc=ru" проходит нормально, пользователи показываются.
>И на этом застрял.
>id user
>пишет что нет такого пользователя.
>
>"/etc/nsswitch.conf"
>group: files ldap
>hosts: files dns
>networks: files
>passwd: files ldap
>shells: files
>
>/etc/pam.d/system
># auth
>auth
>sufficient      /usr/local/lib/pam_ldap.so no_warn try_first_pass
>auth
>sufficient      pam_opie.so
>        no_warn no_fake_prompts
>auth
>requisite       pam_opieaccess.so
>   no_warn allow_local
>#auth           sufficient
>     pam_krb5.so
>       no_warn try_first_pass
>#auth           sufficient
>     pam_ssh.so
>        no_warn try_first_pass
>auth
>required        pam_unix.so
>          no_warn
>try_first_pass nullok
>
># account
>#account        required
>    pam_krb5.so
>account         required
>     pam_login_access.so
>account
>    sufficient      /usr/local/lib/pam_ldap.so
>
>account         required
>     pam_unix.so
>
># session
>#session        optional
>    pam_ssh.so
>session         optional
>     /usr/local/lib/pam_ldap.so
>session         required
>     pam_lastlog.so
>    no_fail
>
># password
>#password       sufficient
> pam_krb5.so
>   no_warn try_first_pass
>password        sufficient
>  /usr/local/lib/pam_ldap.so no_warn try_first_pass
>password        required
>    pam_unix.so
>      no_warn try_first_pass
>
>Файлы /usr/local/etc/ldap.conf и nss_ldap.conf настроены, если надо эти конфиги выложу.
Раз поиск (ldapsearch) проходит нормально.
Значит косяк в файле nss_ldap.conf, т.к. через него производится поиск информации о пользователях и группах, т.е. #id user
А pam_ldap.conf отвечает за аутинификацию отдельных сервисов через лдап.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "FreeBSD аккаунты из AD"

Сообщение от redduck on 07-Мрт-06, 14:47

Спасибо! после праздников все испытаю : )

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "FreeBSD аккаунты из AD"

Сообщение от redduck on 08-Мрт-06, 15:36

Что то не получается, вот мой nss_ldap.conf
host 192.168.0.1
base dc=domen,dc=ru
ldap_version 3
binddn cn=nssldap,cn=Users,dc=domen,dc=ru
bindpw Password
port 389
scope sub
timelimit 30
nss_base_passwd         cn=Users,dc=domen,dc=ru?sub
nss_base_shadow         cn=Users,dc=domen,dc=ru?sub
# RFC 2307 (AD) mappings
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute homeDirectory msSFUHomeDirectory
nss_map_objectclass posixGroup group
nss_map_attribute uniqueMember member
nss_map_attribute cn sAMAccountName
pam_login_attribute sAMAccountName
pam_filter objectclass=User
pam_password ad

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "FreeBSD аккаунты из AD"

Сообщение от redduck on 08-Мрт-06, 16:19

Посмотрел журнал (security) на контролере домена, запросы при id user проходят, только все равно выдает "no such user"

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "FreeBSD аккаунты из AD"

Сообщение от Nyurgun on 10-Мрт-06, 08:14

>Посмотрел журнал (security) на контролере домена, запросы при id user проходят, только
>все равно выдает "no such user"
Я то, чисто через OpenLDAP делал..
Из-за интереса поставил на вмваре вин2к3+бсд6.0, попытался как с опенлдап настроить, но дык.
Те нужно поставить SFU (Windows Services For Unix), который добавляет доп. атрибуты(msSFU30UidNumber,msSFU30HomeDirectory..) и тд.
Тогда заработает.
Если хочешь проводит аутинификацию к севрисам с АД, лучше сервисы напрямую к АД подрубать.
Постфикс умееть это. Профтпд тоже должен, по крайней мере своя поддержка лдапа есть (мод_лдап).
Вот насчет АД и фриибсд.
http://joseph.randomnetworks.com/archives/2004/06/21/active-directory-with-nss_ldap-and-pam_ldap/
Back in January of I had mentioned using SFU with nss_ldap on FreeBSD on my old blog. Now that I’ve got a couple of fresh Windows 2000 servers with Active Directory and SFU (Windows Services For Unix) I figured now was a good time to write a howto on making FreeBSD use nss_ldap and pam_ldap in conjunction with Active Directory. I’m using Windows 2000, SFU 3.5, FreeBSD 5.2.1-RELEASE, nss_ldap 1.204_5 and pam_ldap 1.6.9 for this write up.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "FreeBSD аккаунты из AD"

Сообщение от redduck on 10-Мрт-06, 12:51

Спасибо, забыл тогда написать что Windows Services For Unix уже установлен и для пользователя nssldap аттрибуты и пароль установлены

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "FreeBSD аккаунты из AD"

Сообщение от Nyurgun on 10-Мрт-06, 14:15

>Спасибо, забыл тогда написать что Windows Services For Unix уже установлен и
>для пользователя nssldap аттрибуты и пароль установлены

Ну тогда я вряд ли смогу помочь, сам такого не делал, а я знаю только то, что делал..
А качать мне этот SFU долго - диалап..
P.S. Если у тя SFU 3.5 или 3.0 (если есть такая), то мапинг такой должен быть:
# Services for UNIX 3.5 mappings
#nss_map_objectclass posixAccount User
#nss_map_objectclass shadowAccount User
#nss_map_attribute uid msSFU30Name
#nss_map_attribute uniqueMember msSFU30PosixMember
#nss_map_attribute userPassword msSFU30Password
#nss_map_attribute homeDirectory msSFU30HomeDirectory
#nss_map_attribute homeDirectory msSFUHomeDirectory
#nss_map_objectclass posixGroup Group
#pam_login_attribute msSFU30Name
#pam_filter objectclass=User
#pam_password ad

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "FreeBSD аккаунты из AD"
Сообщение от Nyurgun on 07-Мрт-06, 05:35
>Здравствуйте. >FreeBSD + pam_ldap + nss_ldap >ldapsearch -D "cn=administrator,cn=Users,dc=domen,dc=ru" -W -x -b "cn=Users,dc=domen,dc=ru" проходит нормально, пользователи показываются. >И на этом застрял. >id user >пишет что нет такого пользователя. > >"/etc/nsswitch.conf" >group: files ldap >hosts: files dns >networks: files >passwd: files ldap >shells: files > >/etc/pam.d/system ># auth >auth >sufficient /usr/local/lib/pam_ldap.so no_warn try_first_pass >auth >sufficient pam_opie.so > no_warn no_fake_prompts >auth >requisite pam_opieaccess.so > no_warn allow_local >#auth sufficient > pam_krb5.so > no_warn try_first_pass >#auth sufficient > pam_ssh.so > no_warn try_first_pass >auth >required pam_unix.so > no_warn >try_first_pass nullok > ># account >#account required > pam_krb5.so >account required > pam_login_access.so >account > sufficient /usr/local/lib/pam_ldap.so > >account required > pam_unix.so > ># session >#session optional > pam_ssh.so >session optional > /usr/local/lib/pam_ldap.so >session required > pam_lastlog.so > no_fail > ># password >#password sufficient > pam_krb5.so > no_warn try_first_pass >password sufficient > /usr/local/lib/pam_ldap.so no_warn try_first_pass >password required > pam_unix.so > no_warn try_first_pass > >Файлы /usr/local/etc/ldap.conf и nss_ldap.conf настроены, если надо эти конфиги выложу. Раз поиск (ldapsearch) проходит нормально. Значит косяк в файле nss_ldap.conf, т.к. через него производится поиск информации о пользователях и группах, т.е. #id user А pam_ldap.conf отвечает за аутинификацию отдельных сервисов через лдап.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "FreeBSD аккаунты из AD"
	Сообщение от redduck on 07-Мрт-06, 14:47
	Спасибо! после праздников все испытаю : )
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "FreeBSD аккаунты из AD"
	Сообщение от redduck on 08-Мрт-06, 15:36
	Что то не получается, вот мой nss_ldap.conf host 192.168.0.1 base dc=domen,dc=ru ldap_version 3 binddn cn=nssldap,cn=Users,dc=domen,dc=ru bindpw Password port 389 scope sub timelimit 30 nss_base_passwd cn=Users,dc=domen,dc=ru?sub nss_base_shadow cn=Users,dc=domen,dc=ru?sub # RFC 2307 (AD) mappings nss_map_objectclass posixAccount user nss_map_objectclass shadowAccount user nss_map_attribute uid sAMAccountName nss_map_attribute homeDirectory msSFUHomeDirectory nss_map_objectclass posixGroup group nss_map_attribute uniqueMember member nss_map_attribute cn sAMAccountName pam_login_attribute sAMAccountName pam_filter objectclass=User pam_password ad
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "FreeBSD аккаунты из AD"
	Сообщение от redduck on 08-Мрт-06, 16:19
	Посмотрел журнал (security) на контролере домена, запросы при id user проходят, только все равно выдает "no such user"
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "FreeBSD аккаунты из AD"
	Сообщение от Nyurgun on 10-Мрт-06, 08:14
	>Посмотрел журнал (security) на контролере домена, запросы при id user проходят, только >все равно выдает "no such user" Я то, чисто через OpenLDAP делал.. Из-за интереса поставил на вмваре вин2к3+бсд6.0, попытался как с опенлдап настроить, но дык. Те нужно поставить SFU (Windows Services For Unix), который добавляет доп. атрибуты(msSFU30UidNumber,msSFU30HomeDirectory..) и тд. Тогда заработает. Если хочешь проводит аутинификацию к севрисам с АД, лучше сервисы напрямую к АД подрубать. Постфикс умееть это. Профтпд тоже должен, по крайней мере своя поддержка лдапа есть (мод_лдап). Вот насчет АД и фриибсд. http://joseph.randomnetworks.com/archives/2004/06/21/active-directory-with-nss_ldap-and-pam_ldap/ Back in January of I had mentioned using SFU with nss_ldap on FreeBSD on my old blog. Now that I’ve got a couple of fresh Windows 2000 servers with Active Directory and SFU (Windows Services For Unix) I figured now was a good time to write a howto on making FreeBSD use nss_ldap and pam_ldap in conjunction with Active Directory. I’m using Windows 2000, SFU 3.5, FreeBSD 5.2.1-RELEASE, nss_ldap 1.204_5 and pam_ldap 1.6.9 for this write up.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "FreeBSD аккаунты из AD"
	Сообщение от redduck on 10-Мрт-06, 12:51
	Спасибо, забыл тогда написать что Windows Services For Unix уже установлен и для пользователя nssldap аттрибуты и пароль установлены
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "FreeBSD аккаунты из AD"
	Сообщение от Nyurgun on 10-Мрт-06, 14:15
	>Спасибо, забыл тогда написать что Windows Services For Unix уже установлен и >для пользователя nssldap аттрибуты и пароль установлены Ну тогда я вряд ли смогу помочь, сам такого не делал, а я знаю только то, что делал.. А качать мне этот SFU долго - диалап.. P.S. Если у тя SFU 3.5 или 3.0 (если есть такая), то мапинг такой должен быть: # Services for UNIX 3.5 mappings #nss_map_objectclass posixAccount User #nss_map_objectclass shadowAccount User #nss_map_attribute uid msSFU30Name #nss_map_attribute uniqueMember msSFU30PosixMember #nss_map_attribute userPassword msSFU30Password #nss_map_attribute homeDirectory msSFU30HomeDirectory #nss_map_attribute homeDirectory msSFUHomeDirectory #nss_map_objectclass posixGroup Group #pam_login_attribute msSFU30Name #pam_filter objectclass=User #pam_password ad
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]