Ucty v LDAPu

Jan Kasprzak kas na informatics.muni.cz
Středa Září 11 15:16:36 CEST 2002


Tak jsem si s timhle hral vic, dosavadni vysledky (a nove problemy):

Nastaveni "pam_check_host_attr yes" v /etc/ldap.conf nefunguje
(klient klade uplne stejny dotaz jako bez neho). Chtelo by to neco
podobneho pro nss_ldap. Nicmene tohle lze obejit direktivou
ve stylu

nss_base_passwd ou=People,dc=domena,dc=cz?one?host=hostname.domena.cz

Akorat nevim, jak tohle potom udelam na Solarisu ...

No a ted ten novy problem: nejsem schopen nakonfigurovat nss_ldap
tak, aby pouzival SSL/TLS. Vygeneroval jsem si certifikat
pro ldap.domena.cz, dal jsem odkaz do slapd.conf, restartoval slapd.
Kdyz dam vyhledavani

ldapsearch -H ldaps://ldap.domena.cz -vLx -b 'dc=domena,dc=cz' '(cn=mujlogin)'

dostanu spravnou odpoved. Dokonce jsem to zkousel z jineho pocitace
a tcpdumpem/etherealem jsem se dival, ze data jdou skutecne zasifrovane
(retezec "mujlogin" se tam nikde neobjevi, zatimco pokud dam ldap://
misto ldaps://, tak je to videt cele).

Cili bych rekl, ze ldaps mi chodi. Kdyz ale do ldap.conf
dam cestu k certifikatu me CA a zapnu "ssl on" a "uri ldaps://ldap.domena.cz/",
tak to nefunguje (mam soubor patrici uzivateli "mujlogin", ktery je
jen v LDAPu, davam "ls -l ten_soubor" a divam se jestli se dohleda
k UIDu login). LDAP server do logu nenapise zadnou informaci
o vyhledavani, jen informaci o spojeni (a kupodivu jde spravne na port ldaps):

Sep 11 15:00:24 ldap slapd[22261]: daemon: conn=48 fd=8 connection from IP=1.2.3.4:53728 (IP=0.0.0.0:636) accepted. 
Sep 11 15:00:24 ldap slapd: conn=47 op=1 UNBIND
Sep 11 15:00:24 ldap slapd: conn=-1 fd=8 closed
Sep 11 15:00:24 ldap slapd[22261]: conn=48 op=1 UNBIND 
Sep 11 15:00:24 ldap slapd[22261]: conn=-1 fd=8 closed 

Bohuzel nevim jak u nss_ldap zapinat nejake ladici informace,
takze vubec nevim co si o tom mysli klient.

	Chodi nekomu distribuce loginu pres LDAP nad SSL?

-Y.

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/   Czech Linux Homepage: http://www.linux.cz/ |
|----------- If you want the holes in your knowledge showing up -----------|
|----------- try teaching someone.                  -- Alan Cox -----------|


Další informace o konferenci Linux