Minimalni ACL pro OpenLDAP a overovani uzivatelu
Pavel Lisy
pali na tmapy.cz
Čtvrtek Květen 22 12:33:42 CEST 2003
V Út, 20. 05. 2003 v 22.36, Dan Ohnesorg napsal:
> Dne Tue, May 20, 2003 at 01:45:17PM +0200, Pavel Lisy napsal:
>
> > musim tam dat:
> > access to dn=".*,dc=hk,dc=tmapy,dc=cz"
> > by * read
>
> Podle me se nss_ldap chova jaksi proti smyslu LDAP, protoze kdyz autorizuje
> uzivatele, tak nevola auth, ale stahne si obsah sifrovaneho hesla provadi s
> nim nejake operace. Ja jsem to obchazel tim, ze jsem pro nss_ldap
> nadefinoval uzivatele, pod kterym se prihlasuje do ldap a dal jsem mu prava
> ke cteni tech zaznamu. Ted nevim presne jak se ty parametry jmenovaly, ale
> psaly se do /etc/ldap.conf a heslo do /etc/ldap.secret
Uvital bych infromaci, jak ti tohle fungovalo?
Testuji to, ale s rozporuplnymi vysledky.
v ldap serveru ma uzivatel cn=user,dc=hk,dc=tmapy,dc=cz pravo read
pokud mam v
/etc/ldap.conf (spolecny konfigurak pro nss_ldap a pam_ldap)
binddn cn=user,dc=hk,dc=tmapy,dc=cz
bindpw heslo
tak mi vse funguje
pokud dam misto toho radek
rootbinddn cn=user,dc=hk,dc=tmapy,dc=cz
a v /etc/ldap.secret
--
heslo
--
Tak pokud je vypnute nscd, dostanu nasledujici vysledek
[root na mirjam root]# /etc/init.d/nscd stop
Ukoneuji nscd: [ OK ]
[root na mirjam root]# su - pali
id: cannot find name for user ID 525
id: cannot find name for group ID 1000
id: jméno u3/4ivatele pro UID 525 nelze najít
[I have no name!@mirjam pali]$
prihlasim se, ale nechce to resolvovat jmena
tj. zrejme funguje pam, ale ne nss
Pokud je zapnute nscd, dostanu nasledujici vysledek
[root na mirjam root]# /etc/init.d/nscd start
Startuji nscd: [ OK ]
[root na mirjam root]# su - pali
su: u3/4ivatel pali neexistuje
[root na mirjam root]#
Nevim, jak to vice trasovat
cd /etc/nscd.conf jsem nastavil
logfile /var/log/nscd.log
server-user nscd
debug-level 256
ale z logu se toho stejne moc nedozvim: pri testu
[root na mirjam root]# su - pali
su: uzivatel pali neexistuje
[root na mirjam root]#
je v logu pouze toto:
5032: handle_request: 3/4ádost poijata (verze = 2)
5032: GETPWBYNAME (pali)
5032: remove GETPWBYNAME entry "pali"
Funguje vam to nekomu spravne? Nebo se mam smirit s tim, ze to proste
nejede?
Pavel
--
Pavel Lisy <pali na tmapy.cz>
T-MAPY spol. s r.o.
Další informace o konferenci Linux