Jump to content
Sign in to follow this  
CAEman

Подключение Linux к WinServer c LDAPservice

Recommended Posts

Всё, в принципе, верно.

Могу только уточнить, что если локальный пользователь уже создан, то проверка его актуального наличия на сервере уже не обязательна. Монтирование ресурсов - задача вторичная (так или иначе она решаема, просто не хотелось бы иметь повторный запрос пароля, но это уже, как говорится, "причёсывание" последующее).

Вы писали, что:

"pam_krb5 - требует наличия юникс пользователя (аутент. kerberos).

pam_smb - требует наличия юникс пользователя (аутент. ntlm).

pam_ldap - требует наличия юникс пользователя (аутент. по паролю,

хранящемуся в ldap, в последних версиях также возможен sasl).

"

В связи с этим у меня возникло 2 вопроса:

1) А что насчёт pam_ntlm?

2) Можно ли, в принципе, ограничиться локальным pam'ом, но написать сценарий аутентификации в /etc/pam.d/login (наподобие того, как это описано в статье http://www.citforum.ru/operating_systems/articles/pam.shtml, ссылку на которую Вы приводили), использующий kinit, useradd, passwd?

Так же у меня ещё вопросы возникли по статье http://developer.novell.com/wiki/index.php/HOWTO:_Configure_ Ubuntu_for_Active_Directory_Authentication (также - Вашей ссылки):"

It is assumed Active Directory is configured with an AD realm of EXAMPLE.COM and we will create one user:

account name: wendy

UID: 1002

GID: 1002

home directory: /home/wendy

shell: /bin/bash

", - это в AD или локального?

И в чём здесь проблема:"

ldapsearch -x -H ldap://server.domain "(objectClass=posixAccount)" sAMAccountName

# extended LDIF

#

# LDAPv3

# base <dc=domain> (default) with scope subtree

# filter: (objectClass=posixAccount)

# requesting: sAMAccountName

#

# search result

search: 2

result: 1 Operations error

text: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this ope

ration a successful bind must be completed on the connection., data 0, vece

# numResponses: 1

", - ведь, согласно тексту статьи, ничего особенного, кроме настройки ldap, до этого делать, вроде, не нужно было?

И последний вопрос, что и где нужно прописать, чтобы "monitor /var/log/auth.log, this should explain why you cannot login"?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 20 November 2009 15:11

Могу только уточнить, что если локальный пользователь уже создан, то проверка его актуального наличия на сервере уже не обязательна. Монтирование ресурсов - задача вторичная (так или иначе она решаема, просто не хотелось бы иметь повторный запрос пароля, но это уже, как говорится, "причёсывание" последующее).

Тогда задача сводится к переносе базы пользователей с паролями. Для этого как раз предназначался pam_ntlm, но ... см. ниже.

Цитата:

В связи с этим у меня возникло 2 вопроса:

1) А что насчёт pam_ntlm?

Если перенести базу пользователей с ntlm паролями с сервера windows на юникс машину, то аудентификацию по этой перенесенной базе и предназначен выполнять модуль pam_ntlm

http://sourceforge.net/projects/pamntlm

Но для того, чтобы эту базу перенести, без пароля win админа не обойтись (не взламывая сервер Smile ).

Цитата:

2) Можно ли, в принципе, ограничиться локальным pam'ом, но написать сценарий аутентификации в /etc/pam.d/login (наподобие того, как это описано в статье http://www.citforum.ru/operating_systems/articles/pam.shtml, ссылку на которую Вы приводили), использующий kinit, useradd, passwd?

Но как мы тогда проверим пароль на win сервере? Если вы заметили, в файле /etc/pam.d/login указываются как раз pam модули, проводящие аутентификацию, а это - отнюдь не скрипты.

Цитата:

Так же у меня ещё вопросы возникли по статье http://developer.novell.com/wiki/index.php/HOWTO:_Configure_ Ubuntu_for_Active_Directory_Authentication (также - Вашей ссылки):"

It is assumed Active Directory is configured with an AD realm of EXAMPLE.COM and we will create one user:

account name: wendy

UID: 1002

GID: 1002

home directory: /home/wendy

shell: /bin/bash

", - это в AD или локального?

У них AD сконфигурирована таким образом, что соденжит юниксовых юзеров.

Цитата:

И в чём здесь проблема:"

ldapsearch -x -H ldap://server.domain "(objectClass=posixAccount)" sAMAccountName

# extended LDIF

#

# LDAPv3

# base <dc=domain> (default) with scope subtree

# filter: (objectClass=posixAccount)

# requesting: sAMAccountName

#

# search result

search: 2

result: 1 Operations error

text: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this ope

ration a successful bind must be completed on the connection., data 0, vece

# numResponses: 1

", - ведь, согласно тексту статьи, ничего особенного, кроме настройки ldap, до этого делать, вроде, не нужно было?

Того, что вы просили, сервер и не мог найти. Попробуйте просто

ldapsearch -x

При этом лдап сервер должен выдать всю информацию, доступную анонимно. Конкретно в случае АД - не знаю.

Цитата:

И последний вопрос, что и где нужно прописать, чтобы "monitor /var/log/auth.log, this should explain why you cannot login"?

В /var/log/auth.log должны отображаться попытки нуудачных входов уже при настройках по умолчанию.

Share this post


Link to post
Share on other sites

gogi писал(а) Fri, 20 November 2009 23:05

Тогда задача сводится к переносе базы пользователей с паролями. Для этого как раз предназначался pam_ntlm, но ... см. ниже.

Если перенести базу пользователей с ntlm паролями с сервера windows на юникс машину, то аудентификацию по этой перенесенной базе и предназначен выполнять модуль pam_ntlm

http://sourceforge.net/projects/pamntlm

Но для того, чтобы эту базу перенести, без пароля win админа не обойтись (не взламывая сервер Smile ).

Но в Виндоусе из-под своей простой учётной записи, если выставляю права на свои ресурсы, то вижу весь список пользователей сервера (вернее, частями по 1000)...

Цитата:

2) Можно ли, в принципе, ограничиться локальным pam'ом, но написать сценарий аутентификации в /etc/pam.d/login (наподобие того, как это описано в статье http://www.citforum.ru/operating_systems/articles/pam.shtml, ссылку на которую Вы приводили), использующий kinit, useradd, passwd?

Но как мы тогда проверим пароль на win сервере? Если вы заметили, в файле /etc/pam.d/login указываются как раз pam модули, проводящие аутентификацию, а это - отнюдь не скрипты.

Извините, я не правильно выразился. Я имел в виду написание такого же простейшего модуля, но использующего kinit (при аутентификации по kerberos) или аналогичную команду при аутентификации по ntlm (я, правда, не знаю какую, да и kinit проверен, что работает, хотя я не знаю, что эта команда возвращает в случае удачи и в обратном, и можно ли будет это использовать в модуле), как приводимый там следующий образец:

До PAM'а нам пришлось бы переписывать весь login, а теперь мы просто сделаем новый модуль, соберем его как библиотеку и припишем в сценарий аутентификации /etc/pam.d/login. Модуль будет называться просто pam_test. Но сначала о том, что же мы будем делать. Имеется следующая интересная схема аутентификации: система выдает пользователю несколько случайных чисел. Пользователь берет определенные из них, поставляет в ТОЛЬКО ЕМУ известный многочлен, например, (дата)*x*x+3*x-(текущий час)*y+z и вводит вместо пароля ответ. Компьютер тоже считает по этому алгоритму и если ответ правильный, пускает в систему. Схема идеальная: повышается математический уровень сотрудников, пароль вводится всегда другой, закономерность уловить по косвенным данным практически невозможно (коэффициенты у многочлена также меняются от времени, возможных многочленов тьма). Есть конечно очевилные недостатки: тяжело считать, можно подсмотреть как пользователь считает на бумажке, сложны вопросы хранения многочленов ... Но мы не будем столь огорчаться, ведь мы прежде всего учимся, не так ли. Как вы прочитали ранее модули различаются по классам. Наш будет класса AUTH. То есть отвечать за аутентификацию. Это его текст. /*Это простейший модуль PAM*/// Включаем необходимые заголовочные файлы.#include <security/pam_modules.h>#include <stdarg.h>#include <time.h>//Это определит тип нашего модуля#define PAM_SM_AUTH#define MAX_V 30// Самая интересная функция.// Именно она реализует наш неповторимый алгоритм аутентификации.// Подобные внешние функции должны существовать во всех модулях данного класса.PAM_EXTERN int pam_sm_authenticate(pam_handle_t * pamh, int flags                                   ,int argc, const char **argv){        unsigned int ctrl;        int retval;        const char *name, *p;        char *right;        /*special variables*/        long x1,x2,x3,x4,y;        time_t mytime;        struct tm *mytm;        /*готовимся к аутентификации*/        mytime=time(0);        mytm=localtime(&mytime);        srandom(mytime);        x1=random()%MAX_V;        x2=random()%MAX_V;        x3=random()%MAX_V;        x4=random()%MAX_V;        //завели несколько случайных величин, а заодно узнали и время.        /* получим имя пользователя */        // Получаем имя пользователя        // Вся мудрость PAM в том, что приглашение "login: " появится если имя еще не известно,        // иначе мы сразу получим ответ, сгенерированный предыдущими модулями.        retval = pam_get_user(pamh, &name, "login: ");        /*получим пароль используя диалог*/        {            struct pam_conv *conv;            struct pam_message *pmsg[3],msg[3];            struct pam_response *response;        retval = pam_get_item( pamh, PAM_CONV, (const void **) &conv ) ;// Сами мы не знаем как будет осущестляться диалог, это забота программы   (в нашем случае этим займется login). Мы// лишь только  укажем параметры, вид приглашения и более того, можем   задать сразу несколько приглашений, если надо// получить сразу несколько ответов        pmsg[0] = &msg[0];        msg[0].msg_style = PAM_PROMPT_ECHO_OFF;        msg[0].msg=malloc(100);        snprintf(msg[0].msg,60,"Second Password:%d:%d:%d:%d:",x1,x2,x3,x4);        retval = conv->conv(1, ( const struct pam_message ** ) pmsg                            , &response, conv->appdata_ptr); // Нам дали указатель на диалоговую функцию. Ее и запускаем.        /*просчитаем правильный ответ*/        y=2*x1*mytm->tm_mday+x3*mytm->tm_hour;        right=malloc(100);        snprintf(right,20,"%d",y); // Сравним с ответом пользователя. Ответ формируется диалоговой функцией в специальном формате.        if (!(strcmp(right,response->resp))){        return PAM_SUCCESS;        }else{        return PAM_AUTH_ERR;        }      }/*диалог*/        return PAM_SUCCESS;// Нашим результатом будет да или нет. Как прервать программу разберется основной модуль PAM.}/* * The only thing _pam_set_credentials_unix() does is initialization of * UNIX group IDs. * * Well, everybody but me on linux-pam is convinced that it should not * initialize group IDs, so I am not doing it but don't say that I haven't * warned you. -- AOY * Перевожу: Единственная вещь которую делает pam_set_cred это инициализация   Идентификаторов групп... короче в данном случае это нам совершенно не нужно */PAM_EXTERN int pam_sm_setcred(pam_handle_t * pamh, int flags                              ,int argc, const char **argv){        unsigned int ctrl;        int retval;        retval = PAM_SUCCESS;//Чтобы никто не заметил, что мы ничего не делаем ответим, что все в порядке        return retval;}// Это определение необходимо для статической линковки модулей PAM в приложениях.#ifdef PAM_STATICstruct pam_module _pam_unix_auth_modstruct = {    "pam_test",    pam_sm_authenticate,    pam_sm_setcred,    NULL,    NULL,    NULL,    NULL,};#endifВот и все. Просто. Дело в том, что мы тут описываем процедуру аутентификации и только ее - положительный эффект от грамотного разделения обязанностей. Повторим все основные этапы. В модуле, понятное дело ,должны существовать экспортируемые функции. В нашем случае это pam_sm_authenticate и pam_sm_setcred. Для каждого класса модулей свой набор функций. Дальше, внутри функций находится основной алгоритм принятия решения ответом является только "да" или "нет". Если же для принятия столь ответственного решения необходимо узнать дополнительную информацию от пользователя, то можно узнать указатель на диалоговую функцию программы. Работа с другими классами модулей абсолютно идентична. Так что попробуйте сделать еще что-нибудь свое.

Если ответ положителен, то хотелось бы узнать, в чём пошагово заключается "соберем его как библиотеку", и уточнить: "припишем в сценарий аутентификации" заключается в замене pam_unix2 на него, или просто в его добавлении (или, вообще, вызов модуля pam_unix2 он будет содержать в себе)?

Цитата:

Того, что вы просили, сервер и не мог найти. Попробуйте просто

ldapsearch -x

При этом лдап сервер должен выдать всю информацию, доступную анонимно. Конкретно в случае АД - не знаю.

Абсолютно тот же результат. Вообще-то эта же ошибка выдаётся, когда в Ясте в дополнительных настройках ЛДАП клиента пытаешься в административных настройках анонимно сконфигурировать настройки управления пользователями...

Впрочем, если там же, но не в административных, а в клиентских настройках нажимаешь "Обзор" у Map'ов (не знаю, как это слово правильно в данном случае перевести на русский) пользователей, паролей и групп, то открываются окна с пустым содержанием (списками?)...

Цитата:

В /var/log/auth.log должны отображаться попытки нуудачных входов уже при настройках по умолчанию.

Я это понимаю. Но дело в том, что у меня нет такого файла вообще. И я не помню, чтобы менял какие-нибудь подобные настройки. Вопрос же заключается в том, что если именно этот файл должен быть и в openSUSE, то какой настройкой это устанавливается?

Share this post


Link to post
Share on other sites

И ещё 1 вопрос.

Зачем в упомянутой ранее статье сначала настраивается LDAP c nsswitch.conf? pam_krb5 в отличие от kinit может получить доступ к спискам пользователей на AD только через LDAP, или я чего не допонимаю?

Share this post


Link to post
Share on other sites

Да, немного недопонимаете.

Следует различать понятия аутентификации (проверка пароля), которая в данном

случае реализуется через керберос и авторизации (получение uid, gid, home...), которая

осуществляется посредством ldap. Kerberos - это система аутентификации,

LDAP может и то и другое. Поэтому nss модуля для керберос нет и

быть не может.

Share this post


Link to post
Share on other sites

CAEman писал(а) Sat, 21 November 2009 13:29

gogi писал(а) Fri, 20 November 2009 23:05

Тогда задача сводится к переносе базы пользователей с паролями. Для этого как раз предназначался pam_ntlm, но ... см. ниже.

Если перенести базу пользователей с ntlm паролями с сервера windows на юникс машину, то аудентификацию по этой перенесенной базе и предназначен выполнять модуль pam_ntlm

http://sourceforge.net/projects/pamntlm

Но для того, чтобы эту базу перенести, без пароля win админа не обойтись (не взламывая сервер Smile ).

Но в Виндоусе из-под своей простой учётной записи, если выставляю права на свои ресурсы, то вижу весь список пользователей сервера (вернее, частями по 1000)...

Но паролей Вы там не увидите.

Цитата:

хотелось бы узнать, в чём пошагово заключается "соберем его как библиотеку",

Результатом компиляции должна стать библиотека. Подробнее см. документацию по программированию на C под linux.

Цитата:

и уточнить: "припишем в сценарий аутентификации" заключается в замене pam_unix2 на него, или просто в его добавлении (или, вообще, вызов модуля pam_unix2 он будет содержать в себе)?

Здесь имеется в виду настройка /etc/pam.d

Цитата:

Цитата:

Того, что вы просили, сервер и не мог найти. Попробуйте просто

ldapsearch -x

При этом лдап сервер должен выдать всю информацию, доступную анонимно. Конкретно в случае АД - не знаю.

Абсолютно тот же результат. Вообще-то эта же ошибка выдаётся, когда в Ясте в дополнительных настройках ЛДАП клиента пытаешься в административных настройках анонимно сконфигурировать настройки управления пользователями...

Впрочем, если там же, но не в административных, а в клиентских настройках нажимаешь "Обзор" у Map'ов (не знаю, как это слово правильно в данном случае перевести на русский) пользователей, паролей и групп, то открываются окна с пустым содержанием (списками?)...

Либо неправильно настроен ldap клиент, либо венда только машинам домена даёт такую информацию.

Цитата:

Цитата:

В /var/log/auth.log должны отображаться попытки нуудачных входов уже при настройках по умолчанию.

Я это понимаю. Но дело в том, что у меня нет такого файла вообще. И я не помню, чтобы менял какие-нибудь подобные настройки. Вопрос же заключается в том, что если именно этот файл должен быть и в openSUSE, то какой настройкой это устанавливается?

Читайте документацию по дистрибутиву.

У меня нет openSUSE

В redhat, centos, fedora - /var/log/secure

В debian - /var/log/auth.log

Если Вы решились писать свой pam модуль, то я всё же советую за основу взять pam_winbind, поскульку он уже

1) проводит аутентификацию и по ntlm, и по kerberos.

2) создаёт юниксовых юзеров.

А вышеуказанную статью рассматривать как вводное руководство.

В этом случае при возникновении вопросов уместно создать тему в разделе программирования на языке C.

Share this post


Link to post
Share on other sites

Цитата:

Цитата:

и уточнить: "припишем в сценарий аутентификации" заключается в замене pam_unix2 на него, или просто в его добавлении (или, вообще, вызов модуля pam_unix2 он будет содержать в себе)?

Здесь имеется в виду настройка /etc/pam.d

Я понимаю, что имеется в виду /etc/pam.d/login. Я про изменения в его содержании и спрашивал.

Насчёт libnss-ldap. На вин.машине, входящей в домен, пользователей которого нужно авторизовать на лин.машине, nltest /dsgetdc:domain выдаёт:

"

DC: \\server.domain

Address: \\xxx.xxx.x.xxx

Dom Guid: c6d56383-2f9d-4236-9644-628653063863

Dom Name: domain

Forest Name: domain

Dc Site Name: Default-First-Site-Name

Our Site Name: Default-First-Site-Name

Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE

The command completed successfully

"

После же настройки ldap.conf следующим образом:

"

#

# This is the configuration file for the LDAP nameservice

# switch library and the LDAP PAM module.

#

# Your LDAP server. Must be resolvable without using LDAP.

# Multiple hosts may be specified, each separated by a

# space. How long nss_ldap takes to failover depends on

# whether your LDAP client library supports configurable

# network or connect timeouts (see bind_timelimit).

host xxx.xxx.x.xxx server.domain

# The distinguished name of the search base.

base dc=domain

# Another way to specify your LDAP server is to provide an

# uri with the server name. This allows to use

# Unix Domain Sockets to connect to a local LDAP Server.

#uri ldap://127.0.0.1/

#uri ldaps://127.0.0.1/

#uri ldapi://%2fvar%2frun%2fldapi_sock/

# Note: %2f encodes the '/' used as directory separator

# The LDAP version to use (defaults to 3

# if supported by client library)

ldap_version 3

# The distinguished name to bind to the server with.

# Optional: default is to bind anonymously.

#binddn cn=proxyuser,dc=example,dc=com

# The credentials to bind with.

# Optional: default is no credential.

#bindpw secret

# The distinguished name to bind to the server with

# if the effective user ID is root. Password is

# stored in /etc/ldap.secret (mode 600)

#rootbinddn cn=manager,dc=example,dc=com

# The port.

# Optional: default is 389.

#port 389

# The search scope.

#scope sub

#scope one

#scope base

# Search timelimit

#timelimit 30

# Bind/connect timelimit

#bind_timelimit 30

# Reconnect policy:

# hard_open: reconnect to DSA with exponential backoff if

# opening connection failed

# hard_init: reconnect to DSA with exponential backoff if

# initializing connection failed

# hard: alias for hard_open

# soft: return immediately on server failure

bind_policy soft

# Connection policy:

# persist: DSA connections are kept open (default)

# oneshot: DSA connections destroyed after request

#nss_connect_policy persist

# Idle timelimit; client will close connections

# (nss_ldap only) if the server has not been contacted

# for the number of seconds specified below.

#idle_timelimit 3600

# Use paged rseults

#nss_paged_results yes

# Pagesize: when paged results enable, used to set the

# pagesize to a custom value

#pagesize 1000

# Filter to AND with uid=%s

#pam_filter objectclass=account

# The user ID attribute (defaults to uid)

#pam_login_attribute uid

# Search the root DSE for the password policy (works

# with Netscape Directory Server). Make use of

# Password Policy LDAP Control (as in OpenLDAP)

#pam_lookup_policy yes

# Check the 'host' attribute for access control

# Default is no; if set to yes, and user has no

# value for the host attribute, and pam_ldap is

# configured for account management (authorization)

# then the user will not be allowed to login.

#pam_check_host_attr yes

# Check the 'authorizedService' attribute for access

# control

# Default is no; if set to yes, and the user has no

# value for the authorizedService attribute, and

# pam_ldap is configured for account management

# (authorization) then the user will not be allowed

# to login.

#pam_check_service_attr yes

# Group to enforce membership of

#pam_groupdn cn=PAM,ou=Groups,dc=example,dc=com

# Group member attribute

#pam_member_attribute uniquemember

# Specify a minium or maximum UID number allowed

#pam_min_uid 0

#pam_max_uid 0

# Template login attribute, default template user

# (can be overriden by value of former attribute

# in user's entry)

#pam_login_attribute userPrincipalName

#pam_template_login_attribute uid

#pam_template_login nobody

# HEADS UP: the pam_crypt, pam_nds_passwd,

# and pam_ad_passwd options are no

# longer supported.

#

# Do not hash the password at all; presume

# the directory server will do it, if

# necessary. This is the default.

#pam_password clear

# Hash password locally; required for University of

# Michigan LDAP server, and works with Netscape

# Directory Server if you're using the UNIX-Crypt

# hash mechanism and not using the NT Synchronization

# service.

#pam_password crypt

# Remove old password first, then update in

# cleartext. Necessary for use with Novell

# Directory Services (NDS)

#pam_password nds

# RACF is an alias for the above. For use with

# IBM RACF

#pam_password racf

# Update Active Directory password, by

# creating Unicode password and updating

# unicodePwd attribute.

#pam_password ad

# Use the OpenLDAP password change

# extended operation to update the password.

pam_password crypt

# Redirect users to a URL or somesuch on password

# changes.

#pam_password_prohibit_message Please visit http://internal to change your password.

# Use backlinks for answering initgroups()

#nss_initgroups backlink

# returns NOTFOUND if nss_ldap's initgroups() is called

# for users specified in nss_initgroups_ignoreusers

# (comma separated)

#nss_initgroups_ignoreusers root,ldap

# Enable support for RFC2307bis (distinguished names in group

# members)

#nss_schema rfc2307bis

# RFC2307bis naming contexts

# Syntax:

# nss_base_XXX base?scope?filter

# where scope is {base,one,sub}

# and filter is a filter to be &'d with the

# default filter.

# You can omit the suffix eg:

# nss_base_passwd ou=People,

# to append the default base DN but this

# may incur a small performance impact.

#nss_base_passwd ou=People,dc=example,dc=com?one

#nss_base_shadow ou=People,dc=example,dc=com?one

#nss_base_group ou=Group,dc=example,dc=com?one

#nss_base_hosts ou=Hosts,dc=example,dc=com?one

#nss_base_services ou=Services,dc=example,dc=com?one

#nss_base_networks ou=Networks,dc=example,dc=com?one

#nss_base_protocols ou=Protocols,dc=example,dc=com?one

#nss_base_rpc ou=Rpc,dc=example,dc=com?one

#nss_base_ethers ou=Ethers,dc=example,dc=com?one

#nss_base_netmasks ou=Networks,dc=example,dc=com?ne

#nss_base_bootparams ou=Ethers,dc=example,dc=com?one

#nss_base_aliases ou=Aliases,dc=example,dc=com?one

#nss_base_netgroup ou=Netgroup,dc=example,dc=com?one

# attribute/objectclass mapping

# Syntax:

#nss_map_attribute rfc2307attribute mapped_attribute

#nss_map_objectclass rfc2307objectclass mapped_objectclass

# configure --enable-nds is no longer supported.

# NDS mappings

#nss_map_attribute uniqueMember member

nss_map_attribute userPassword sambaPassword

nss_map_attribute gecos name

nss_map_attribute uid unixName

nss_map_attribute shadowLastChange pwdLastSet

# Services for UNIX 3.5 mappings

#nss_map_objectclass posixAccount User

#nss_map_objectclass shadowAccount User

#nss_map_attribute uid msSFU30Name

#nss_map_attribute uniqueMember msSFU30PosixMember

#nss_map_attribute userPassword msSFU30Password

#nss_map_attribute homeDirectory msSFU30HomeDirectory

#nss_map_attribute homeDirectory msSFUHomeDirectory

#nss_map_objectclass posixGroup Group

#pam_login_attribute msSFU30Name

#pam_filter objectclass=User

#pam_password ad

nss_map_objectclass posixGroup group

pam_filter objectclass=User

# configure --enable-mssfu-schema is no longer supported.

# Services for UNIX 2.0 mappings

#nss_map_objectclass posixAccount User

#nss_map_objectclass shadowAccount user

#nss_map_attribute uid msSFUName

#nss_map_attribute uniqueMember posixMember

#nss_map_attribute userPassword msSFUPassword

#nss_map_attribute homeDirectory msSFUHomeDirectory

#nss_map_attribute shadowLastChange pwdLastSet

#nss_map_objectclass posixGroup Group

#nss_map_attribute cn msSFUName

#pam_login_attribute msSFUName

#pam_filter objectclass=User

#pam_password ad

# RFC 2307 (AD) mappings

#nss_map_objectclass posixAccount user

#nss_map_objectclass shadowAccount user

#nss_map_attribute uid sAMAccountName

#nss_map_attribute homeDirectory unixHomeDirectory

#nss_map_attribute shadowLastChange pwdLastSet

#nss_map_objectclass posixGroup group

#nss_map_attribute uniqueMember member

#pam_login_attribute sAMAccountName

#pam_filter objectclass=User

#pam_password ad

# configure --enable-authpassword is no longer supported

# AuthPassword mappings

#nss_map_attribute userPassword authPassword

# AIX SecureWay mappings

#nss_map_objectclass posixAccount aixAccount

#nss_base_passwd ou=aixaccount,?one

#nss_map_attribute uid userName

#nss_map_attribute gidNumber gid

#nss_map_attribute uidNumber uid

#nss_map_attribute userPassword passwordChar

#nss_map_objectclass posixGroup aixAccessGroup

#nss_base_group ou=aixgroup,?one

#nss_map_attribute cn groupName

#nss_map_attribute uniqueMember member

#pam_login_attribute userName

#pam_filter objectclass=aixAccount

#pam_password clear

# For pre-RFC2307bis automount schema

#nss_map_objectclass automountMap nisMap

#nss_map_attribute automountMapName nisMapName

#nss_map_objectclass automount nisObject

#nss_map_attribute automountKey cn

#nss_map_attribute automountInformation nisMapEntry

# Netscape SDK LDAPS

#ssl on

# Netscape SDK SSL options

#sslpath /etc/ssl/certs

# OpenLDAP SSL mechanism

# start_tls mechanism uses the normal LDAP port, LDAPS typically 636

#ssl no

#ldap_version 3

#pam_filter objectClass=posixAccount

#ssl on

# OpenLDAP SSL options

# Require and verify server certificate (yes/no)

# Default is to use libldap's default behavior, which can be configured in

# /etc/openldap/ldap.conf using the TLS_REQCERT setting. The default for

# OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes".

#tls_checkpeer yes

# CA certificates for server certificate verification

# At least one of these are required if tls_checkpeer is "yes"

#tls_cacertfile /etc/ssl/ca.cert

#tls_cacertdir /etc/ssl/certs

# Seed the PRNG if /dev/urandom is not provided

#tls_randfile /var/run/egd-pool

# SSL cipher suite

# See man ciphers for syntax

#tls_ciphers TLSv1

# Client certificate and key

# Use these, if your server requires client authentication.

#tls_cert

#tls_key

# Disable SASL security layers. This is needed for AD.

sasl_secprops maxssf=0

#ssl no

#tls_checkpeer no

# Override the default Kerberos ticket cache location.

#krb5_ccname FILE:/etc/.ldapcache

"

на стандартный вывод стала выдаваться следующая информация: "nscd: nss_ldap: could not search LDAP server - Server is unavailable", а когда закомментировал строку "bind_policy soft", то ОС вообще перестала загружаться.

Про openSUSE я знаю только, что в kdm.log (так как у меня стоит DISPLAYMANAGER kdm) помимо всего прочего выдаётся такая информация, как "kdmgreet: Fatal IO error: client killed" и "...pam-config: command not found".

Раз процесс компиляции библиотеки настолько сложен, что проще разобраться и отредактировать столь сложный исходник pam_winbind'а... то у меня до прибегания к этой последней мере осталась лишь одна надежда: что Вы думаете насчёт модуля https://sourceforge.net/projects/pam-script/ - его никак нельзя использовать для поставленной задачи без редактирования исходников?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 27 November 2009 14:21

и уточнить: "припишем в сценарий аутентификации" заключается в замене pam_unix2 на него, или просто в его добавлении (или, вообще, вызов модуля pam_unix2 он будет содержать в себе)?

Я понимаю, что имеется в виду /etc/pam.d/login. Я про изменения в его содержании и спрашивал.

Обычно, пропивывая другой модуль, оставляют и pam_unix.so хотя бы для того, что бы всегда мог залогиниться локальный root.

Например, пишут так

 auth    sufficient                      pam_unix.soauth    required                        pam_ldap.so

Цитата:

Раз процесс компиляции библиотеки настолько сложен, что проще разобраться и отредактировать столь сложный исходник pam_winbind'а...

Процесс компиляции не сложнее процесса написания модуля. Но умение компилировать также необходимо.

Цитата:

то у меня до прибегания к этой последней мере осталась лишь одна надежда: что Вы думаете насчёт модуля https://sourceforge.net/projects/pam-script/ - его никак нельзя использовать для поставленной задачи без редактирования исходников?

Мне модуль показался интересным. Если нет времени/желания изучать C, то он Вам может помочь.

Share this post


Link to post
Share on other sites

А каким образом? Его описание: "when using pam_script with pam "auth", in any script that pam-script runs, where the username doesn't exist on the machine, the PAM_AUTHTOK env variable is set to: "\x08\n\r\x7fINCORRECT" instead of the password the user typed (even though their username doesn't exist in /etc/passwd) if the username does exist, then pam_script returns the correct password," - я понял, как взлом имеющегося пользователя, если неизвестен его пароль, или замена введённого пароля несуществующего пользователя на какой-то системный, что-ли? Если я чего не так понял, то объясните, пожалуйста, что здесь имеется в виду. Т.е. что конкретно делает этот модуль?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 27 November 2009 20:39

А каким образом? Его описание: "when using pam_script with pam "auth", in any script that pam-script runs, where the username doesn't exist on the machine, the PAM_AUTHTOK env variable is set to: "\x08\n\r\x7fINCORRECT" instead of the password the user typed (even though their username doesn't exist in /etc/passwd) if the username does exist, then pam_script returns the correct password," - я понял, как взлом имеющегося пользователя, если неизвестен его пароль, или замена введённого пароля несуществующего пользователя на какой-то системный, что-ли? Если я чего не так понял, то объясните, пожалуйста, что здесь имеется в виду. Т.е. что конкретно делает этот модуль?

Здесь сказано, что модуль при аутентификации проверяет наличие пользователя в системе, и если пользователя нет,

соответствующему скрипту вместо пароля передат указанную выше строку.

Не зню, какой в этом смысл - может, безопасность, а может особенности архитектуры pam. Но задачу это усложнит.

Придется либо править исходники этого pam модуля, либо писать соответствующий модуль nss.

Share this post


Link to post
Share on other sites

Хорошо. Это то, что этот модуль делает не так, как нужно для решения поставленной задачи. А что он вообще делает из того, что могло бы облегчить это решение с его помощью по сравнению с редактированием исходников winbind'a?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 27 November 2009 21:45

А что он вообще делает из того, что могло бы облегчить это решение с его помощью по сравнению с редактированием исходников winbind'a?

Во первых, он короче и проще pam_winbind для изучения модулей pam.

Во вторых, он даёт возможность писать логику на шелле или перле вместо С.

Я просмотрел искходники. Модуль не виноват. Вышеуказанную строку вместо пароля передаёт ему сама система, а он переправляет её скрипту.

Так что в любом случае нужен модуль nss, который говорит в ответ на запрос системы - OK. Этот пользователь есть в системе, вот его uid, gid....

Share this post


Link to post
Share on other sites

А нельзя ли на шелле переделать исходники этого модуля так, чтобы после запроса таинственного вопрошателя системы,

если упомянутый Вами модуль говорит не ОК, то запрос передался бы на сервер

(через, например, kinit или что в этом случае можно использовать в данной ситуации),

и в случае возврата ОК создавался бы в системе пользователь с именем и паролем, содержащимися в запросе,

(через, например, useradd, passwd или что в этом случае можно использовать в данной ситуации),

и модуль бы ответил, что пользователь есть в системе, вот его uid, gid...

(надеюсь, что система дальше сможет сама определить, что это новый пользователь, и загрузить его должным образом...).

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 04 December 2009 12:27

А нельзя ли на шелле переделать исходники этого модуля так, чтобы после запроса таинственного вопрошателя системы,

если упомянутый Вами модуль говорит не ОК, то запрос передался бы на сервер

(через, например, kinit или что в этом случае можно использовать в данной ситуации),

Во-первых, найденный Вами модуль, написан, как и должно быть, на C и исходников на шелле не имеет. Его особенность в том, что он способен вызывть шелл скрипты.

Во-вторых, как я понимаю, даже переработка C исходников в данном случае не даст нужного результата. Модуль не сможет провести аутентификацию на сервере, поскольку ему система pam передёт пароль только в том случае, если пользователь существует.

Если бы Вы ещё нашли подобный модуль для nss, тогда задачу можно бы было решать на шелле.

Ещё можно поэкспериментировать, вдруг nss_winbind выдаёт нужную информацию (создаёт виртуального пользователя) и без ввода машины в домен. Просто подключите winbind к системе nss (/etc/nsswitch.conf) и проверьте утилитой getent.

Share this post


Link to post
Share on other sites

Насколько я помню, это уже пройденный этап. Но раз уж Вы попросили...

Изменил в nsswitch.conf на:

"

passwd: files winbind

group: files winbind

shadow: files winbind

"

Далее:

"

# getent passwd

ais:x:39:100:openais Standards Based Cluster Framework:/:/bin/false

at:x:25:25:Batch jobs daemon:/var/spool/atjobs:/bin/bash

avahi:x:102:104:User for Avahi:/var/run/avahi-daemon:/bin/false

beagleindex:x:108:111:User for Beagle indexing:/var/cache/beagle:/bin/bash

bin:x:1:1:bin:/bin:/bin/bash

daemon:x:2:2:Daemon:/sbin:/bin/bash

dnsmasq:x:106:65534:dnsmasq:/var/lib/empty:/bin/false

ftp:x:40:49:FTP account:/srv/ftp:/bin/bash

games:x:12:100:Games account:/var/games:/bin/bash

gnats:x:34:65534:GNATS GNU Backtracking System:/usr/lib/gnats:/bin/bash

haldaemon:x:104:106:User for haldaemon:/var/run/hald:/bin/false

icecream:x:110:114:Icecream Daemon:/var/cache/icecream:/bin/false

lp:x:4:7:Printing daemon:/var/spool/lpd:/bin/bash

mail:x:8:12:Mailer daemon:/var/spool/clientmqueue:/bin/false

man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash

messagebus:x:101:103:User for D-Bus:/var/run/dbus:/bin/false

nagios:x:109:112:User for Nagios:/var/tmp:/bin/false

news:x:9:13:News system:/etc/news:/bin/bash

nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/bash

ntp:x:74:101:NTP daemon:/var/lib/ntp:/bin/false

oprofile:x:111:115:Special user account to be used by OProfile:/var/lib/empty:/bin/false

polkituser:x:103:105:PolicyKit:/var/run/PolicyKit:/bin/false

postfix:x:51:51:Postfix Daemon:/var/spool/postfix:/bin/false

pulse:x:107:108:PulseAudio daemon:/var/lib/pulseaudio:/sbin/nologin

root:x:0:0:root:/root:/bin/bash

sshd:x:71:65:SSH daemon:/var/lib/sshd:/bin/false

suse-ncc:x:105:107:Novell Customer Center User:/var/lib/YaST2/suse-ncc-fakehome:/bin/bash

tss:x:98:98:TSS daemon:/var/lib/tpm:/bin/false

uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash

uuidd:x:100:102:User for uuidd:/var/run/uuidd:/bin/false

wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false

dhcpd:x:112:65534:DHCP server daemon:/var/lib/dhcp:/bin/false

wnn:x:66:1:Wnn System Account:/var/lib/wnn:/bin/false

named:x:44:44:Name server daemon:/var/lib/named:/bin/false

cyrus:x:96:12:User for cyrus-imapd:/usr/lib/cyrus:/bin/bash

squid:x:31:65534:WWW-proxy squid:/var/cache/squid:/bin/false

ldap:x:76:70:User for OpenLDAP:/var/lib/ldap:/bin/bash

ftpsecure:x:113:65534:Secure FTP User:/var/lib/empty:/bin/false

privoxy:x:114:116:Daemon user for privoxy:/var/lib/privoxy:/bin/false

quagga:x:115:117:Quagga routing daemon:/var/run/quagga:/usr/bin/false

festival:x:116:118:Festival daemon:/usr/share/festival/:/bin/false

dovecot:x:117:119:User for Dovecot imapd:/var/run/dovecot:/bin/false

vdr:x:118:33:Video Disk Recorder:/var/spool/video:/bin/false

vscan:x:65:120:Vscan account:/var/spool/amavis:/bin/false

mysql:x:60:121:MySQL database admin:/var/lib/mysql:/bin/false

mailman:x:72:67:GNU mailing list manager:/var/lib/mailman:/bin/bash

postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash

fetchmail:x:119:2:mail retrieval daemon:/var/lib/fetchmail:/bin/false

fax:x:33:14:Facsimile agent:/var/spool/fax:/bin/bash

gdm:x:120:124:Gnome Display Manager daemon:/var/lib/gdm:/bin/false

tomcat:x:121:125:Apache Tomcat:/usr/share/tomcat6:/bin/sh

+::0:0:::

"

Затем:

"

# service winbind start

Starting Samba WINBIND daemon done

# service winbind status

Checking for Samba WINBIND daemon dead

"

И напоследок:

"

# getent passwd

ais:x:39:100:openais Standards Based Cluster Framework:/:/bin/false

at:x:25:25:Batch jobs daemon:/var/spool/atjobs:/bin/bash

avahi:x:102:104:User for Avahi:/var/run/avahi-daemon:/bin/false

beagleindex:x:108:111:User for Beagle indexing:/var/cache/beagle:/bin/bash

bin:x:1:1:bin:/bin:/bin/bash

daemon:x:2:2:Daemon:/sbin:/bin/bash

dnsmasq:x:106:65534:dnsmasq:/var/lib/empty:/bin/false

ftp:x:40:49:FTP account:/srv/ftp:/bin/bash

games:x:12:100:Games account:/var/games:/bin/bash

gnats:x:34:65534:GNATS GNU Backtracking System:/usr/lib/gnats:/bin/bash

haldaemon:x:104:106:User for haldaemon:/var/run/hald:/bin/false

icecream:x:110:114:Icecream Daemon:/var/cache/icecream:/bin/false

lp:x:4:7:Printing daemon:/var/spool/lpd:/bin/bash

mail:x:8:12:Mailer daemon:/var/spool/clientmqueue:/bin/false

man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash

messagebus:x:101:103:User for D-Bus:/var/run/dbus:/bin/false

nagios:x:109:112:User for Nagios:/var/tmp:/bin/false

news:x:9:13:News system:/etc/news:/bin/bash

nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/bash

ntp:x:74:101:NTP daemon:/var/lib/ntp:/bin/false

oprofile:x:111:115:Special user account to be used by OProfile:/var/lib/empty:/bin/false

polkituser:x:103:105:PolicyKit:/var/run/PolicyKit:/bin/false

postfix:x:51:51:Postfix Daemon:/var/spool/postfix:/bin/false

pulse:x:107:108:PulseAudio daemon:/var/lib/pulseaudio:/sbin/nologin

root:x:0:0:root:/root:/bin/bash

sshd:x:71:65:SSH daemon:/var/lib/sshd:/bin/false

suse-ncc:x:105:107:Novell Customer Center User:/var/lib/YaST2/suse-ncc-fakehome:/bin/bash

tss:x:98:98:TSS daemon:/var/lib/tpm:/bin/false

uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash

uuidd:x:100:102:User for uuidd:/var/run/uuidd:/bin/false

wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false

dhcpd:x:112:65534:DHCP server daemon:/var/lib/dhcp:/bin/false

wnn:x:66:1:Wnn System Account:/var/lib/wnn:/bin/false

named:x:44:44:Name server daemon:/var/lib/named:/bin/false

cyrus:x:96:12:User for cyrus-imapd:/usr/lib/cyrus:/bin/bash

squid:x:31:65534:WWW-proxy squid:/var/cache/squid:/bin/false

ldap:x:76:70:User for OpenLDAP:/var/lib/ldap:/bin/bash

ftpsecure:x:113:65534:Secure FTP User:/var/lib/empty:/bin/false

privoxy:x:114:116:Daemon user for privoxy:/var/lib/privoxy:/bin/false

quagga:x:115:117:Quagga routing daemon:/var/run/quagga:/usr/bin/false

festival:x:116:118:Festival daemon:/usr/share/festival/:/bin/false

dovecot:x:117:119:User for Dovecot imapd:/var/run/dovecot:/bin/false

vdr:x:118:33:Video Disk Recorder:/var/spool/video:/bin/false

vscan:x:65:120:Vscan account:/var/spool/amavis:/bin/false

mysql:x:60:121:MySQL database admin:/var/lib/mysql:/bin/false

mailman:x:72:67:GNU mailing list manager:/var/lib/mailman:/bin/bash

postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash

fetchmail:x:119:2:mail retrieval daemon:/var/lib/fetchmail:/bin/false

fax:x:33:14:Facsimile agent:/var/spool/fax:/bin/bash

gdm:x:120:124:Gnome Display Manager daemon:/var/lib/gdm:/bin/false

tomcat:x:121:125:Apache Tomcat:/usr/share/tomcat6:/bin/sh

+::0:0:::

"

Таким образом, остаётся только редактирование исходников winbind'a (чтобы, для начала, при security=ADS хотя бы не умирал, или здесь тогда должно будет быть не ADS?).

Или я что-то ещё упустил?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 04 December 2009 18:31

Таким образом, остаётся только редактирование исходников winbind'a

Да. Или подыскать для nss модуль, подобный тому, что Вы нашли для pam.

Цитата:

(чтобы, для начала, при security=ADS хотя бы не умирал, или здесь тогда должно будет быть не ADS?).

Если доступ к рессурсам предполагается через mount.cifs, то ни winbind, ни smb.conf вовсе не нужны. Нужен будет nss модуль, написанный "по мотивам" nss_winbind.

Share this post


Link to post
Share on other sites

gogi писал(а) Fri, 04 December 2009 19:24

Да. Или подыскать для nss модуль, подобный тому, что Вы нашли для pam.

Если доступ к рессурсам предполагается через mount.cifs, то ни winbind, ни smb.conf вовсе не нужны. Нужен будет nss модуль, написанный "по мотивам" nss_winbind.

Так значит мне нужно начинать пробовать редактировать исходники с "winbind_nss_linux.c" а не "Смотреть в первую очередь надо pam_winbind.c", как Вы мне советовали ранее. Или я опять что-то не так понимаю?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 04 December 2009 20:09

Так значит мне нужно начинать пробовать редактировать исходники с "winbind_nss_linux.c" а не "Смотреть в первую очередь надо pam_winbind.c", как Вы мне советовали ранее. Или я опять что-то не так понимаю?

Думаю, что именно так.

Приблизительная схема аутентификации:

1. Пользователь вводит логин - пароль.

2. Система pam использует nss для поиска пользователя и получения uid.

3. Если найден локальный пользователь, то из nss берется его uid.

Если нет, то вновь написанный модуль nss использует анонимный вызов ldapsearch для поиска пользователя в AD.

4. Если пользователь найден, то создаёт локального пользователя без пароля с uid из предопределённого диапазона и возвращает системе pam.

5. Система pam в соответствии со своей конфигурацией вызывет модуль pam_smb (или pam_kerberos, или свой модуль pam) для аутентификации пользователя в AD.

Share this post


Link to post
Share on other sites

Так у меня же ldapsearch не работает... Или в winbind_nss забит именно ldapsearch (может, поэтому winbind и мрёт)? А kinit никак нельзя использовать для этой цели?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 04 December 2009 21:47

Так у меня же ldapsearch не работает... Или в winbind_nss забит именно ldapsearch (может, поэтому winbind и мрёт)? А kinit никак нельзя использовать для этой цели?

1. kinit нет, поскольку на этом этапе не знаем пароля.

2. Я сам не пробовал делать ldap запросы к АД (АД у меня нет), но пишут, эта схема работает, причем без ввода машины в домен. В одной из ссылок, которые Вы рассматривали, приводится настройка ldap клиента для этого случая.

3. Можно ещё какую-нибудь схему придумать, напр. создавать пользователя не проверяя его в АД, а потом удалять, если не прошел аутентификацию.

Share this post


Link to post
Share on other sites

Т.е., как я понял, без работающего ldap клиента (кстати, у Вас нет никаких предположений насчёт причин и их устранения)

заниматься редактированием исходников winbind'а не имеет смысла.

Или я ошибаюсь?

А kinit же и пароль проверяет (по крайней мере, при получении билета).

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 11 December 2009 13:53

Т.е., как я понял, без работающего ldap клиента (кстати, у Вас нет никаких предположений насчёт причин и их устранения)

Я думаю, что у Вас неправильно настроен ldap клиент.

Главное - правильно указать адрес сервера (лучше ip) и порт, а также не написать чего лишнего (У Вас, например, присутствуют ненужные строки, касающиеся nss, pam...).

Также могут быть особенности, свойственные именно подключению к AD.

Цитата:

заниматься редактированием исходников winbind'а не имеет смысла.

Или я ошибаюсь?

Разве что если Вы будете создавать пользователя без пароля, не проверяя его наличие в АД.

А затем pam сверит пароль с АД, и, при несовпадении, не даст войти в систему.

Недостаток один - расплодится много пользователей.

Цитата:

А kinit же и пароль проверяет (по крайней мере, при получении билета).

Мы выяснили (во всяком случае так было написано в мане к найденному Вами pam модулю): если пользователя нет в системе,

то соответствующему pam модулю НЕ ПЕРЕДАЕТСЯ пароль. А kinit без пароля бессмысленен.

Share this post


Link to post
Share on other sites

gogi писал(а) Fri, 11 December 2009 23:31

Я думаю, что у Вас неправильно настроен ldap клиент.

Главное - правильно указать адрес сервера (лучше ip) и порт, а также не написать чего лишнего (У Вас, например, присутствуют ненужные строки, касающиеся nss, pam...).

Также могут быть особенности, свойственные именно подключению к AD.

Приведу ещё раз ldap.conf, но без закоммент. строк (для удобства):

"

host xxx.xxx.x.xxx server.domain

base dc=domain

ldap_version 3

# Optional: default is 389.

#port 389

bind_policy soft

pam_password crypt

nss_map_attribute userPassword sambaPassword

nss_map_attribute gecos name

nss_map_attribute uid unixName

nss_map_attribute shadowLastChange pwdLastSet

nss_map_objectclass posixGroup group

pam_filter objectclass=User

sasl_secprops maxssf=0

"

Как видите, указан ip адрес; утилита ldp.exe на подключённой к этому домену вин.машине подрубается к нему через порт 389, используемый по умолчанию клиентом, или всё равно нужно разкоммент. соответствующую строку?

Все остальные строки были взяты мной из статьи http://developer.novell.com/wiki/index.php/HOWTO:_Configure_ Ubuntu_for_Active_Directory_Authentication. Не могли бы Вы вставить в свой ответ только нужные из этих строки?

А особенности, свойственные именно подключению к AD, никак нельзя обнаружить на подключённой к этой АД вин.машине?

Цитата:

Разве что если Вы будете создавать пользователя без пароля, не проверяя его наличие в АД.

А затем pam сверит пароль с АД, и, при несовпадении, не даст войти в систему.

Недостаток один - расплодится много пользователей.

А как это можно сделать, чтобы после проверки наличия пользователя в системе с отрицательным результатом создавался бы безпарольный одноимённый введённому пользователь,

затем происходила бы опять проверка его наличия в системе, потом введённый пароль проверялся бы именно у одноимённого пользователя АД,

и при положительном результате этот пароль присваивался бы созданному пользователю с последующей его первой загрузкой,

а в случае отрицательного результата - созданный беспарольный пользователь не мог бы загружаться (а лучше - удалялся бы)?

Я что-то себе этого даже представить не могу...

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 18 December 2009 15:08

Приведу ещё раз ldap.conf, но без закоммент. строк (для удобства):

"

host xxx.xxx.x.xxx server.domain

base dc=domain

...

"

Как видите, указан ip адрес; утилита ldp.exe на подключённой к этому домену вин.машине подрубается к нему через порт 389, используемый по умолчанию клиентом, или всё равно нужно разкоммент. соответствующую строку?

Все остальные строки были взяты мной из статьи http://developer.novell.com/wiki/index.php/HOWTO:_Configure_ Ubuntu_for_Active_Directory_Authentication. Не могли бы Вы вставить в свой ответ только нужные из этих строки?

А особенности, свойственные именно подключению к AD, никак нельзя обнаружить на подключённой к этой АД вин.машине?

Оставьте две строки

BASE dc=your-org,dc=ru

URI ldap://xxx.xxx.xxx.xxx/

строки, касающиеся nss, в данном случае излишни, так как Ваша AD не содержит этой информации.

Цитата:

А как это можно сделать, чтобы после проверки наличия пользователя в системе с отрицательным результатом создавался бы безпарольный одноимённый введённому пользователь,

затем происходила бы опять проверка его наличия в системе, потом введённый пароль проверялся бы именно у одноимённого пользователя АД,

и при положительном результате этот пароль присваивался бы созданному пользователю с последующей его первой загрузкой,

а в случае отрицательного результата - созданный беспарольный пользователь не мог бы загружаться (а лучше - удалялся бы)?

Я что-то себе этого даже представить не могу...

Для этого нужно написать модуль nss, который при запросе создаёт пользователя c нужными uid,gid,home,

прописывая его в /etc/passwd (или, если хотите, в своей базе) и возвращает его данные.

В /etc/nsswitch.conf для базы passwd указываем

passwd: compat ваш_модуль

Вот, собственно, и все.

Основная проблема - написать модуль nss (они, как и модули pam,

традиционно пишутся на C).

Share this post


Link to post
Share on other sites

gogi писал(а) Fri, 18 December 2009 22:23

Оставьте две строки

BASE dc=your-org,dc=ru

URI ldap://xxx.xxx.xxx.xxx/

Я, конечно, попробовал сделать, как Вы советуете, но я не понял к чему здесь ",dc=ru".

Могу только констатировать, что с этим, что без этого АБСОЛЮТНО идентичный результат:

"

~ # ldapsearch -x

# extended LDIF

#

# LDAPv3

# base <dc=domain> (default) with scope subtree

# filter: (objectclass=*)

# requesting: ALL

#

# search result

search: 2

result: 1 Operations error

text: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this ope

ration a successful bind must be completed on the connection., data 0, vece

# numResponses: 1

"

Кстати, если и domain, и его ip'шник traceroute'ятся нормально с абсолютно одинаковым результатом, то на ldap://.../ выдаёт ошибку.

Когда же я включил ЛДАП клиента (это вообще нужно в нашем случае?), то на стандартный вывод стала выдаваться приводимая, кажется, мной уже здесь ошибка поиска сервера,

а когда я ещё и закомментировал bind_policy soft, то, как и раньше, Линукс перестал грузиться...

Что тут ещё не так может быть с этим ЛДАП?

Кстати, на это никак не может повлиять следующий факт:

из-за того, что в этом openSUSE почему-то отдельно DHCP4 клиент без DHCP6 клиента не запускается, в результате выдаётя ошибка: "Failed services in runlevel 5: network",

но при этом сеть работает, и статус самого этого сервиса и выдаваемых вместе с ним mandatory network interfaces и DHCP4 client'а оказывается "running" (при DHCP6 - "dead")?

Цитата:

Для этого нужно написать модуль nss, который при запросе создаёт пользователя c нужными uid,gid,home,

прописывая его в /etc/passwd (или, если хотите, в своей базе) и возвращает его данные.

В /etc/nsswitch.conf для базы passwd указываем

passwd: compat ваш_модуль

Вот, собственно, и все.

Основная проблема - написать модуль nss (они, как и модули pam,

традиционно пишутся на C).

1) В этом случае ЛДАП может не работать, а будет использоваться керберос?

2) Возможно ли сделать так, чтобы в случае наличия локального пользователя, идентичного введённому, всё остальное до загрузки пользователя пропускалось бы?

2) Создаваться будет пользователь с введёнными и именем, и паролем (а не беспарольный, как Вы в прошлый раз писали)?

3) А как сделать, чтобы после проверки на АД с отрицательным результатом созданный пользователь удалялся бы?

4) А путём редактирования упомянутого как-то исходника "winbind_nss_linux.c" не проще будет, чем писать с нуля?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...