Minimalni ACL pro OpenLDAP a overovani uzivatelu

Pavel Lisy pali na tmapy.cz
Čtvrtek Květen 22 12:33:42 CEST 2003 

V Út, 20. 05. 2003 v 22.36, Dan Ohnesorg napsal:
> Dne Tue, May 20, 2003 at 01:45:17PM +0200, Pavel Lisy napsal:
> 
> > musim tam dat:
> > access to dn=".*,dc=hk,dc=tmapy,dc=cz" 
> >    by * read
> 
> Podle me se nss_ldap chova jaksi proti smyslu LDAP, protoze kdyz autorizuje
> uzivatele, tak nevola auth, ale stahne si obsah sifrovaneho hesla provadi s
> nim nejake operace. Ja jsem to obchazel tim, ze jsem pro nss_ldap
> nadefinoval uzivatele, pod kterym se prihlasuje do ldap a dal jsem mu prava
> ke cteni tech zaznamu. Ted nevim presne jak se ty parametry jmenovaly, ale
> psaly se do /etc/ldap.conf a heslo do /etc/ldap.secret
Uvital bych infromaci, jak ti tohle fungovalo?

Testuji to, ale s rozporuplnymi vysledky.

v ldap serveru ma uzivatel cn=user,dc=hk,dc=tmapy,dc=cz pravo read

pokud mam v 
/etc/ldap.conf (spolecny konfigurak pro nss_ldap a pam_ldap)

binddn cn=user,dc=hk,dc=tmapy,dc=cz
bindpw heslo

tak mi vse funguje

pokud dam misto toho radek 
rootbinddn cn=user,dc=hk,dc=tmapy,dc=cz

a v /etc/ldap.secret
--
heslo

--

Tak pokud je vypnute nscd, dostanu nasledujici vysledek

[root na mirjam root]# /etc/init.d/nscd stop
Ukoneuji nscd:                                             [  OK  ]
[root na mirjam root]# su - pali
id: cannot find name for user ID 525
id: cannot find name for group ID 1000
id: jméno u3/4ivatele pro UID 525 nelze najít
[I have no name!@mirjam pali]$ 

prihlasim se, ale nechce to resolvovat jmena 
tj. zrejme funguje pam, ale ne nss


Pokud je zapnute nscd, dostanu nasledujici vysledek

[root na mirjam root]# /etc/init.d/nscd start
Startuji nscd:                                             [  OK  ]
[root na mirjam root]# su - pali
su: u3/4ivatel pali neexistuje
[root na mirjam root]# 


Nevim, jak to vice trasovat 

cd /etc/nscd.conf jsem nastavil
	logfile			/var/log/nscd.log
	server-user		nscd
	debug-level		256

ale z logu se toho stejne moc nedozvim: pri testu

[root na mirjam root]# su - pali
su: uzivatel pali neexistuje
[root na mirjam root]# 

je v logu pouze toto:
5032: handle_request: 3/4ádost poijata (verze = 2)
5032: 	GETPWBYNAME (pali)
5032: remove GETPWBYNAME entry "pali"


Funguje vam to nekomu spravne? Nebo se mam smirit s tim, ze to proste
nejede?

Pavel



-- 
Pavel Lisy <pali na tmapy.cz>
T-MAPY spol. s r.o.

Další informace o konferenci Linux