Toon posts:

Openldap server probleem

Pagina: 1
Acties:

zaterdag 11 oktober 2003 17:04

Acties:

Verwijderd

Topicstarter
Ik heb openldap nu goed aan de praat, kan users aanmaken enz. en deze kunnen zich op workstations e.d authenticeren.
Maar goed. Ik draai red hat als distro en heb de rpm's gebruikt voor de openldap.
Op de clients de benodigde rpm's geinstalleerd. Als ik op de ldap server de service ldap stop (slapd deamon) dan kunnen de workstations zich niet meer authenticeren. Daarom gebruikt de ldap server zelf geen ldap authenticatie. Want als de ldap server plat ligt kan niemand meer ergens aanloggen.

Hebben meer mensen dit probleem en of een andere oplossing??
Het zou mooi zijn net als bij Windows AD dat de LDAP server van Linux ook ldap authenticatie kan gebruiken, ook voor de linux clients en server zou het mooi zijn als de ldap service om wat voor reden dan ook eruit ligt iedereen zich met een local account kan inloggen.

Is dit mogelijk met openldap??

zaterdag 11 oktober 2003 19:13

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Die server kan best ook LDAP logins gebruiken. Maar het is inderdaad verstandig om ook normale UNIX logins toe te staan (met /etc/passwd dus.) Valt te regelen in PAM (/etc/pam.*).
Wat niet zomaar kan volgens mij is de windows-manier: lokaal opgeslagen profiel gebruiken zo mogelijk, als de login-server niet beschikbaar is. Tenminste, niet dat ik weet.

(Nou is UNIX niet bedoeld op deze manier gebruikt te worden, dus zo gek is dat niet)

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 11 oktober 2003 19:17

Acties:

Verwijderd

/etc/nsswitch.conf is er niet voor niks hoor ;)
CyBeR schreef op 11 October 2003 @ 19:13:
(Nou is UNIX niet bedoeld op deze manier gebruikt te worden, dus zo gek is dat niet)
Euhm, kun je die even uitleggen :?

Is namelijk perfect mogelijk allemaal hoor.

Sterker nog ik kan hier zelfs dingen als service namen/host namen/uid's/gid's/gebruikersinfo etc. etc. uit de ldap server laten trekken en als die niet bereikbaar is gewoon uit de lokale bestanden per server/client.

[ Voor 90% gewijzigd door Verwijderd op 11-10-2003 20:29 ]

zaterdag 11 oktober 2003 19:27

Acties:
  • Lancer
  • Registratie: Januari 2002
  • Laatst online: 14:49

Lancer

What the......

Wat je ook nog kunt doen is op je workstations een LDAP slave aanmaken. Handig voor b.v. laptops die niet altijd aan het netwerk zitten.

(zo heb ik het thuis i.i.g.)

Je kunt niet in een systeem meten zonder het systeem te beinvloeden.... (gevolg van de Heisenberg onzekerheidsrelatie)

zondag 12 oktober 2003 10:34

Acties:

Verwijderd

Topicstarter
Euh als ik authconfig gebruik om ldap als authenticatie te configureren kan ik geen gebruik maken van de local logins.
Iemand hier info over? Kan hier geen info over vinden, zelfs niet op de site van Red Hat, want als ik dit kan configureren ben ik ineen keer klaar.

Nog een opmerking heb ook geprobeerd de root account in OpenLdap te plaatsen maar dat gaat helemaal niet goed.

zondag 12 oktober 2003 17:30

Acties:

Verwijderd

Topicstarter
Het is opgelost.
In de /etc/pam.d/system-auth

moet je nadat je authconfig in redhat hebt gedraaid het volgende configureren:

auth required /lib/security/pam_env.so
auth sufficient /lib/security/pam_unix.so likeauth nullok
auth sufficient /lib/security/pam_ldap.so use_first_pass
auth required /lib/security/pam_deny.so


account sufficient /lib/security/pam_unix.so
account required /lib/security/pam_ldap.so


password required /lib/security/pam_cracklib.so retry=3 type=
password sufficient /lib/security/pam_ldap.so use_authtok
password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/pam_deny.so

session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so
session optional /lib/security/pam_ldap.so


Maak eerst een backup van dit bestand en zorg ervoor dat de ldap server automatisch opstart(als het toch fout kan gaan is alleen een reboot nodig)

Stop de service ldap en probeer in te loggen.

Nu ga ik verder om openldap met samba en een trust te maken naar windows 2000 of windows 2003 domein.

maandag 13 oktober 2003 02:11

Acties:
  • zaphod_b
  • Registratie: Oktober 2001
  • Laatst online: 25-04 11:35

zaphod_b

Ik zou je root account *altijd* in een lokale /etc/passwd laten staan, dan kun je tenminste de beoel fixen. Jouw oplossing van effe rebooten klinkt beetje Microsoft hoor ;). Alle andere accounts kun je wegdonderen uit /etc/passwd nadat je ze in de LDAP tree hebt gebakken. Alhoewel, kan zijn dat er bepaalde services zijn die eerder starten dan slapd die een accountje willen ;).

Ik heb zelf alles vanaf UID 1000 in LDAP, dat zijn nml de normale users op m'n Debian boxjes en daarvan wil je centraal passwords en info administreren. Services met users zijn standaard en die hoef ik niet perse in LDAP. Geeft me ook extra flexibiliteit qua config per werkstation indien gewenst. Het gaat mij voornamelijk om de universele userlogins i.c.m. Samba en Windows desktops, zodat elke gebruiker op elke PC kan inloggen en z'n desktopje krijgt.

[ Voor 52% gewijzigd door zaphod_b op 13-10-2003 02:14 ]

Pagina: 1
Reageer