Username
Password

Networking

Area di Discussione sulle Telecomunicazioni
Rispondi Invia Nuova Discussione 
Thursday, 19 June 2008, 11:56
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Re: LDAP - vogliamo solo parlarne o ci sporchiamo anche le mani?


questa é la situaz di partenza

Quote:
[root@pdc smbldap-tools]# rpm -q nss_ldap
nss_ldap-257-4.fc8
[root@pdc smbldap-tools]# rpm -q smbldap-tools
smbldap-tools-0.9.4-1.fc8
[root@pdc smbldap-tools]# rpm -q samba
samba-3.0.28a-0.fc8
[root@pdc smbldap-tools]# rpm -q openldap
openldap-2.3.39-3.fc8
[root@pdc smbldap-tools]# rpm -q pam
pam-0.99.8.1-17.1.fc8
[root@pdc smbldap-tools]# rpm -q pam_ldap
il pacchetto pam_ldap non è stato installato
[root@pdc smbldap-tools]#


manca pam_ldap che compilero' dopopranzo

buon appetito
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 12:54
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

occhei, vediamo l'operazione trasgressione.
Ho espanso la tarball in /usr/src/terzi come dir pam_ldap-184

Prima di compilare pam_ldap diamo un controllatina.


configure riporta cio'

prefix=NONE
program_prefix=NONE
program_suffix=NONE

il che e' buono, perche'mi aspetto che finisca tutto in /etc e le sue figlie come samba e ldap.

C'e'un file ldap.conf nella dir principale del pacchetto, bastera' controllare il destino di /etc/ldap.conf per capire se sara'ancdato a toccare proprio li'


[root@pdc pam_ldap-184]# ls /etc/ldap.conf -al
-rw-r--r-- 1 root root 9024 21 nov 2007 /etc/ldap.conf

contro il locale

-rw-r--r-- 1 1002 1002 8678 12 ago 2007 ldap.conf

il file INSTALL consiglia la solita sequenza

./configure
make
make check
make install
make clean

nel caso la versione di autoconf con cui e'stato generato questo configure sia obsoleta, si puo' ri-generare con un autoconf nuovo partendo da configure.in

partiamo come i bravi badilanti

Codice:
[root@pdc pam_ldap-184]# ./configure creating cache ./config.cache checking host system type... i686-pc-linux-gnu checking target system type... i686-pc-linux-gnu checking build system type... i686-pc-linux-gnu checking for a BSD compatible install... /usr/bin/install -c checking whether build environment is sane... yes checking whether make sets ${MAKE}... yes checking for working aclocal... found checking for working autoconf... found checking for working automake... found checking for working autoheader... found checking for working makeinfo... found checking for gcc... gcc checking whether the C compiler (gcc ) works... yes checking whether the C compiler (gcc ) is a cross-compiler... no checking whether we are using GNU C... yes checking whether gcc accepts -g... yes checking how to run the C preprocessor... gcc -E checking for a BSD compatible install... /usr/bin/install -c checking for security/pam_appl.h... yes checking for security/pam_misc.h... yes checking for security/pam_modules.h... yes checking for pam/pam_appl.h... no checking for pam/pam_misc.h... no checking for pam/pam_modules.h... no checking for des.h... no checking for crypt.h... yes checking for lber.h... yes checking for ldap.h... yes checking for ldap_ssl.h... no checking for sasl/sasl.h... yes checking for sasl.h... no checking for main in -ldl... yes checking for main in -lpam... yes checking for main in -lresolv... yes checking for main in -lcrypt... yes checking for main in -lnsl... yes checking for gethostbyname... yes checking for main in -llber... yes checking for main in -lldap... yes checking for ldap_init... yes checking for ldap_get_lderrno... no checking for ldap_set_lderrno... no checking for ldap_parse_result... yes checking for ldap_memfree... yes checking for ldap_controls_free... yes checking for ldap_set_option... yes checking for ldap_get_option... yes checking for ldapssl_init... no checking for ldap_start_tls_s... yes checking for ldap_pvt_tls_set_option... yes checking for ldap_initialize... yes checking for ldap_sasl_bind... yes checking for ldap_sasl_interactive_bind_s... yes checking for gethostbyname_r... yes checking whether gethostbyname_r takes 6 arguments... 6 checking for ldap_set_rebind_proc... yes checking whether ldap_set_rebind_proc takes 3 arguments... 3 updating cache ./config.cache creating ./config.status creating Makefile creating config.h

e tutto procede

al make un po'di warnings ...

Codice:
[root@pdc pam_ldap-184]# make gcc -DHAVE_CONFIG_H -DLDAP_REFERRALS -DLDAP_DEPRECATED -D_REENTRANT -g -O2 -Wall -fPIC -c pam_ldap.c pam_ldap.c: In function ‘_do_sasl_interaction’: pam_ldap.c:1857: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c: In function ‘_service_ok’: pam_ldap.c:2358: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c: In function ‘_get_user_info’: pam_ldap.c:2731: warning: pointer targets in passing argument 4 of ‘_get_long_integer_value’ differ in signedness pam_ldap.c: In function ‘_pam_ldap_get_session’: pam_ldap.c:2746: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c: In function ‘_get_authtok’: pam_ldap.c:3221: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c: In function ‘pam_sm_authenticate’: pam_ldap.c:3317: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c:3345: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c: In function ‘pam_sm_chauthtok’: pam_ldap.c:3444: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c:3453: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c:3464: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c:3501: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c:3606: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c:3621: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c: In function ‘pam_sm_acct_mgmt’: pam_ldap.c:3838: warning: dereferencing type-punned pointer will break strict-aliasing rules pam_ldap.c:3847: warning: dereferencing type-punned pointer will break strict-aliasing rules gcc -DHAVE_CONFIG_H -DLDAP_REFERRALS -DLDAP_DEPRECATED -D_REENTRANT -g -O2 -Wall -fPIC -c md5.c gcc -g -O2 -Wall -fPIC -o pam_ldap.so -shared -Wl,-Bdynamic -Wl,--version-script,./exports.linux pam_ldap.o md5.o -lldap -llber -lnsl -lcrypt -lresolv -lpam -ldl [root@pdc pam_ldap-184]#

niente check, poco install

Codice:
[root@pdc pam_ldap-184]# make check make: Nothing to be done for `check'.

Codice:
[root@pdc pam_ldap-184]# make install make[1]: Entering directory `/usr/src/terzi/pam_ldap-184' /bin/sh ./mkinstalldirs /lib/security /usr/bin/install -c -o root -g root pam_ldap.so /lib/security/pam_ldap.so make install-man5 make[2]: Entering directory `/usr/src/terzi/pam_ldap-184' /bin/sh ./mkinstalldirs /man/man5 mkdir /man mkdir /man/man5 /usr/bin/install -c -m 644 ./pam_ldap.5 /man/man5/pam_ldap.5 make[2]: Leaving directory `/usr/src/terzi/pam_ldap-184' make[1]: Leaving directory `/usr/src/terzi/pam_ldap-184' [root@pdc pam_ldap-184]#

tutto qui?

una dll ed il suo man ? nulla che comprometta l'integrita' dell 'rpmbase.
Se non si e'dimenticato niente, l'abbiamo fatta piu'lunga del dovuto.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 13:14
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

cominciamo a girare per files di configurazione

/etc/ldap.conf e' il file di cfg per i clients nss_ldap e pam_ldap


lascio
host 127.0.0.1


aggiorno
base dc=orchite,dc=lan


veniamo alla parte del dilemma spinoso: tengo users e macchine in due dn diversi nel DIT o butto tutto nel pentolone di ou=People?

Pro e contro.

devo indicare le nss_base_XXXX cioe'gli entru point nel DIT per ognuna di queste classi di oggetti:

#nss_base_passwd ou=People,dc=example,dc=com?one
#nss_base_shadow ou=People,dc=example,dc=com?one
#nss_base_group ou=Group,dc=example,dc=com?one
#nss_base_hosts ou=Hosts,dc=example,dc=com?one

siccome nss_base_passwd si riferisce sia agli users che alle macchine, ho tre possibilita':

pentolone unico

nss_base_passwd ou=People,dc=orchite,dc=lan?one
nss_base_shadow ou=People,dc=orchite,dc=lan?one

separati come ou=People e ou=Machines ma entry point al livello superiore (con degrado delle prestazioni)

nss_base_passwd dc=orchite,dc=lan?sub

oppure replicando l'entry point, verranno fatte due ricerche successive, leggermente piu'performante per gli users,meno per le machines ma sempre meglio che cercare tutto l'albero. Sai che orchite....

nss_base_passwd ou=People,dc=orchite,dc=lan?one
nss_base_passwd ou=Computers,dc=orchite,dc=lan?one

a questo punto mi chiedo, giustamente, dovro'replicare anche nss_base_shadow o le pwd delle machines sono tanto fittizie che non hanno bisogno di questa cura?

Poh, boh, tanto, se poco fa bene, tanto fa meglio ma forse era piu'certo usare un dn unico per users e macchine sotto ou=People, dopotutto lo fanno in molti.

Separarli nel DIT puo'essere utile per grandi quantitativi mentre il peggioramento delle performances e' trascurabile per poco affollamento.
Dopotutto, utenti e macchine si possono separare come query sia in base al $ finale delle macchine, sia rispetto al gid.

L'esperimento va fatto nelle condizioni peggiori, salvo correre al riparo con pentolone.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 14:24
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

quindi procederei cosi'

Quote:
nss_base_passwd ou=people,dc=orchite,dc=lan?one
nss_base_shadow ou=people,dc=orchite,dc=lan?one
nss_base_passwd ou=computers,dc=orchite,dc=lan?one
nss_base_shadow ou=computers,dc=orchite,dc=lan?one
nss_base_group ou=groups,dc=orchite,dc=lan?one


tutto minuscolo e plurale.

per non fare casino con la crittografia e la certificazione, per ora qui lascio tutto remmato

Codice:
# OpenLDAP SSL mechanism # start_tls mechanism uses the normal LDAP port, LDAPS typically 636 #ssl start_tls #ssl on # OpenLDAP SSL options # Require and verify server certificate (yes/no) # Default is to use libldap's default behavior, which can be configured in # /etc/openldap/ldap.conf using the TLS_REQCERT setting. The default for # OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes". #tls_checkpeer yes # CA certificates for server certificate verification # At least one of these are required if tls_checkpeer is "yes" #tls_cacertfile /etc/ssl/ca.cert #tls_cacertdir /etc/ssl/certs # Seed the PRNG if /dev/urandom is not provided #tls_randfile /var/run/egd-pool # SSL cipher suite # See man ciphers for syntax #tls_ciphers TLSv1
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 14:32
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

prima di questo c'e'da configurare /etc/nsswitch.conf

il ragionamento che ho fatto e'semplice.

1) root esiste sempre in ogni passwd locale, non se ne puo'fare a meno
2) gli users "di servizio" esistono ugualmente.

Voglio evitare il piu'possibile i doppioni, cioe'credenziali disponibili localmente e domain-wide.
Voglio pero'accedere alla macchine anche quando ldap e' k.o. e qualche problemino in passato c'e'stato.

Tutti gli utenti senzienti, sia locali che di dominio vadano in ldapsam, quelli di sistema se ne stanno buoni buoni nel file passwd locale ed ogni macchina avra'i suoi.

Quindi la soluzione e'

Codice:
passwd: files ldap shadow: files ldap group: files ldap

Se cerco root, da linux, lo trova comunque in passwd e la sua pwd sta in shadow.
Al massimo puo'capitarmi un utente di dominio mappato su root tramite smbusers ma se cosi'fosse, lo saprei.

quindi la presenza degl users di servizio in files e la precedenza del name service swtich per files mi garantisce che vengano mascherati eventuali intrusi nel ldapsam.

Per contro, un eventuale timeout nell'accesso a ldap, colpirebbe solo gli utenti del dominio e non quelli di sistema.

Se avete esperienze contrastanti con questa deduzione da bambini dell'asilo.... parlatene.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 15:02
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Ci sarebbe stato da mettere mano a system-config-authentication.
Esso avrebbe configurato sia /etc/ldap.conf che /etc/nsswitch.conf ma chissa'se avrebbe toccato tutti i punti?

Lo giro un po' a sensazione perche'l'ultima volta lo vidi a settembre.

Prima pagina, Informazioni utente,

NIS no
LDAP si (era no)
Hesiod no
Winbind si (era no)

Si abilita onfigura "ldap"

Usa TLS (per ora) no
Ricerca LDAP base DN dc=orchite,dc=lan
Server LDAP ldap://127.0.0.1

poi ci torneremo per la cifratura.

Non mi convince la configurazione delle impostazioni di winbind, mi sembrano proprio da client.
Bene l'impostazione del nome del dominio (win, cioe'orchite senza .lan) e del modello di sicurezza user.
La label "controllori del dominio winbind" mi sembra ambigua.
Che vuole? Server? dev'essere uno, perche'plurale?. DC? che le frega?

Checkbox "permetti il login offline" e'interessante, cecchiamola.

--
seconda pagina, Autenticazione.

Senza curarmi delle conseguenze:

Kerberos no
LDAP si
smart card no
SMB si
Winbind si

Terza pagina, opzioni

lascio di default
Info utente dalla cache no
usa passwd shadow si
usa passwd MD5 si
L'autorizzazione locale e'sufficiente per gli utenti locali si (come da nsswitch )
autentica gli account di sistema dai servizi di rete no
controlla access.conf no


Per vedere cosa e'cambiato nei due files di configurazione, installo meld che e'un frontend gnomico di diff, yummabile.

Nel caso di nsswitch.conf ha lavorato bene:




non ho presente quale parametro mi abbia fatto togliere ldap da host ma e' giusto, non si tratta degli account di macchina ma della risoluzione degli host, cosa che tocca a bind.che giustamente segue files (/etc/hosts).

Ha aggiunto winbind alla lista di ricerca per users, passwords e gruppi, dopotutto gliel'ho chiesto io...

Mi ha tolto le pagine gialle da automount e netgroup, girandole a files e ldap.
Qui o ero ciecato io che le vedevo remmate o proprio le ho skippate impunemente.

Vediamo se ha lavorato bene anche con /etc/ldap.conf
Icone Allegate
Clicca sull'immagine per ingrandirla

Nome:  nsswitch.jpg
Visite: 1237
Dimensione:  110.1 KB
ID: 10644  
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 15:10
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

molto bene, ha remmato la direttiva host sostituendola con uri e poi ha riassunto esplicitamente i default della cifratura che io avevo lasciato invariati.

Nulla di diverso nel comportamento dopo l'uso del tool sysm-config.authentication.



Con un po'di attenzione si poteva fare tutto a mano senza le ambiguita'di una mascherina e delle sue labels senza spiegazione.

Aggiungo che, sminuzzando il sorgente di questo script in modo da mettere in relazione ogni campo al giusto parametro su file, tutto diventa chiaro ma allora si fa prima a studiare il file .conf


Bisognera'poi ricordarsi di criptare le pwd in MD5 e soprattutto capire quali ed in che files, visto che in quelli di smbldap-tools pare sia difficile farle entrare cifrate senza spignere.
Icone Allegate
Clicca sull'immagine per ingrandirla

Nome:  ldap.jpg
Visite: 1197
Dimensione:  85.6 KB
ID: 10645  
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 16:34
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Lo script ha modificato anche /etc/samba/smb.conf

poco male perché 'venuto il momento di finire di riempirlo.

Codice:
#--authconfig--start-line-- # Generated by authconfig on 2008/06/19 15:45:54 # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--) # Any modification may be deleted or altered by authconfig in future workgroup = orchite security = user idmap uid = 5000-50000 idmap gid = 5000-50000 template shell = /bin/false winbind use default domain = false winbind offline logon = true #--authconfig--end-line--

offline logon = true gli e'stato detto esplicitamente e cosi'ha fatto
use default domain = false puo'andare bene perche'cosi' wbinfo ci listera' sempre i nomi degli utenti con appeso in testa il nome del dominio.

Secondo me tornera'utile per discriminare eventuali conflitti con user locali.

Una volta capito che non c'e'stato casino, si potra'settare a yes e gli utenti saranno sempre intesi come appartenenti al dominio indicato come workgroup in smb.conf

altro particolare: winbind ci consente di ottenere proprio quello che avevo dichiarato: root locale e tutto il resto (unix users compresi) da ldap.

-------------

Correzione per il debug:

da FC8 in poi non esiste piu' syslog.conf perche' sysklogd e' sostituito da rsyslog.

Quindi il file dove inserire local4.* -var/log/ldaplogs e' /etc/rsyslog.conf


correggero'il post la'sopra.

Anyway, FC8 porta rsyslog 2.0.2 mentre lo sviluppo galoppa gia'alla 3.19
Un'analisi delle new features potrebbe suggerire quanto prima un passaggio a FC9 .... sotto ha la 3.14 ma e'gia'compilata la 3.16

anzi, quasi quasi aggiorno in background la vm sulphurea
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 16:56
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Attenzione agli script, Eugene...

questi sono stati remmati e spostati in testa:



security = user
idmap uid = 5000-50000
idmap gid = 5000-50000
ma
domain master = no (partiamo BDC per aspirare da NT)
domain logons = yes (fondamentale)
sono stati remmati e basta!

maledetto!



non fidatevi mai degli schiacciabottoni.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 17:06
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Andiamo a verificare dove i client nss e pam vanno a cercare il loro file di configurazione.
Attenzione perche' contrariamente a quando dice samba-3 by example, la lib non sta in /lib ma in /usr/lib

Codice:
[root@pdc etc]# strings /usr/lib/libnss_ldap.so.2 | grep conf __session.ls_config != ((void *)0) nss_ldap: could not determine LDAP server from ldap.conf or DNS __session.ls_config-> ldc_uris[__session.ls_current_uri] != ((void *)0) /etc/ldap.conf /etc/openldap/ldap.conf [root@pdc etc]#

prima /etc/ldap.conf (che e'quello giusto, config dei client specifici nss e pam per ldap)
poi /etc/openldap/ldap.conf (che e' la location del file di cfg per i client ldap generici)

prefetto.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 17:08
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

File nsswitch.conf alla riga hosts aggiungo anche wins, non si sa mai che una macchina venga alla luce e ci si dimentichi di aggiungerne l'address in dns

hosts: files dns wins

qunado tutto e' a regime non cambia nulla, diamo una chance in piu' al mondo windows
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 17:29
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

PAM

qui stanno i dolori.

Pluggable Authentication Modules e' uno degli aspetti piu'potenti nel mondo *nix ed incomprensibili a prima vista quasi e magari anche piu' di LDAP.

Su quest'oggetto mi fermai lo scorso autunno con l'intenzione di approfondire " piulla' ". In questo momento mi fido di John H Terpstra ed eseguo alla lettera quanto richiesto al 5.4.2 comma 4 (per SUSE ma vediamo di adattarci a RH)

nella dir /etc/pam/d mettiamo mano a 4 files: quelli che regolano il comportamento all'autenticazione di login, password, samba e sshd

In ogni file occorre localizzare ogni voce che cita il modulo pam_unix2.so ed aggiungere alla riga la direttiva use_ldap

come esempio ecco il file /etc/pam.d/login

Codice:
#%PAM-1.0 auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so auth include system-auth account required pam_nologin.so account include system-auth password include system-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session optional pam_keyinit.so force revoke session include system-auth session required pam_loginuid.so session optional pam_console.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open session optional pam_ck_connector.so

e gia'ci dobbiamo adattare

andiamo a vedere /etc/pam.d/system-auth che e'un link a system-auth-ac a sua volta generato automaticamente da system-config-authentication.

Forse qui ci e'tornato comodo l'uso dello schiacciabottoni perche' non cita nessun modulo pam_unix2.so ma mette in corrispondenza un piu' generico pam_unix.so con un pam_ldap.so

Infatti bastava continuare a leggere.... e' SUSE fatta cosi'.

Su altri sistemi linux che non hanno un pam_unix2.so LDAPpabile, si aggiunge direttamente il modulo pam_ldap cosi'come nel file generato da system-config-authentication.

Esempio
Codice:
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_ldap.so use_first_pass auth sufficient pam_smb_auth.so use_first_pass nolocal auth sufficient pam_winbind.so cached_login use_first_pass auth required pam_deny.so

Gia'da qui viene da eliminare SMB dalle opzioni di autenticazione.
Che significa che se non si e'trovato locale (unix sufficiente) e non si e'trovato in ldap (ldap sufficiente) gli basta una chance con samba e poi, semmai, con winbind?

Si riferisce forse al file smbusers ?

Posso capire la mappatura con winbind... ma che altro puo' fare samba se non quello?

E non e'cosi'scontato perche' io avrei pensato a smbusers in questa fase:

Codice:
account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_ldap.so account [default=bad success=ok user_unknown=ignore] pam_winbind.so cached_login account required pam_permit.so

e non in quella di auth ... comunque per ora lascio cosi', a segare c'e'sempre tempo.

comunque JHT si limita a cio':
Codice:
#%PAM-1.0 auth required pam_securetty.so auth required pam_nologin.so auth sufficient pam_ldap.so auth required pam_unix2.so nullok try_first_pass #set_secrpc account sufficient pam_ldap.so account required pam_unix2.so password required pam_pwcheck.so nullok password required pam_ldap.so use_first_pass use_authtok password required pam_unix2.so nullok use_first_pass use_authtok session required pam_unix2.so none # debug or trace session required pam_limits.so session required pam_env.so session optional pam_mail.so

e mette unix2 sempre dopo ldap (password: ldap files ?)

Pausa....
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Friday, 20 June 2008, 11:00
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Come premesso, occorre fare un paio di passi avanti ed indietro.

Al punto 4 (configurazione del PDC) e' necessario introdurre nel secrets.tdb il SID del dominio ed il capitolo 5 lo fa creare ex novo.

In questo caso invece occorre succhiare quello del dominio NT preesistente dall'ultimo PDC rimasto. Questo si trovera'al capitolo 9.

Occorrera'uno slapd funzionante e per ora (punto 2 della checklist) e'solo installato.

Altro passo indietro....

5.4.1. openldap configuration

avrete notizie dai miei avvocati
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Friday, 20 June 2008, 12:47
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Incluso le parti di slapd.conf e DB_CONFIG

Codice:
[root@pdc log]# [root@pdc samba]# service ldap start Controllo file di configurazione per slapd: [ATTENZIONE] /etc/openldap/slapd.conf: line 88: "attr" is deprecated (and undocumented); use "attrs" instead. /etc/openldap/slapd.conf: line 92: "attr" is deprecated (and undocumented); use "attrs" instead. Avvio di slapd: [ OK ]

Il problema e'a carico di
Codice:
access to attrs=userPassword by self write by * auth access to attrs=shadowLastChange by self write by * read
tocca aggiungere quella s


Codice:
[root@pdc samba]# service ldap restart Interruzione di slapd: [ OK ] Controllo file di configurazione per slapd: [ATTENZIONE] bdb_db_open: Warning - No DB_CONFIG file found in directory /var/lib/ldap: (2) Expect poor performance for suffix dc=nostalgia,dc=loc. Avvio di slapd: [ OK ]
il file DB_CONFIG (ottenuto aggiustando secondo Terpstra il DB_CONFIG.example di /etc/openldap) va spostato nella dir del db /var/lib/ldap

e finalmente abbiamo il percorso netto
Codice:
[root@pdc ldap]# service ldap restart Interruzione di slapd: [ OK ] Avvio di slapd: [ OK ] [root@pdc ldap]#

punto 2 fatto, da collaudare, punto 3 fatto, possiamo tornare al punto 4: samba DC


Collaudo

Codice:
[root@pdc ldap]# slapcat bdb(dc=orchite,dc=lan): /var/log/bdb/log.0000000001: log file open failed: No such file or directory bdb(dc=orchite,dc=lan): PANIC: No such file or directory bdb(dc=orchite,dc=lan): DB_ENV->log_put: 1: DB_RUNRECOVERY: Fatal error, run database recovery bdb_db_close: close failed: DB_RUNRECOVERY: Fatal error, run database recovery (-30974) [root@pdc ldap]#

Indaghiamo

[root@pdc ldap]# slapd_db_recover

[root@pdc ldap]# slapcat
bdb_db_open: unclean shutdown detected; attempting recovery.
bdb_db_open: Recovery skipped in read-only mode. Run manual recovery if errors are encountered.
bdb_db_open: alock_recover failed
bdb(dc=orchite,dc=lan): Unknown locker ID: 0
bdb_db_close: alock_close failed
backend_startup_one: bi_db_open failed! (-1)
slap_startup failed

[root@pdc ldap]# ls
alock __db.002 __db.004 __db.006 dn2id.bdb log.0000000001
__db.001 __db.003 __db.005 DB_CONFIG id2entry.bdb

[root@pdc ldap]# service ldap stop
Interruzione di slapd: [ OK ]

[root@pdc ldap]# slapcat
bdb_db_open: unclean shutdown detected; attempting recovery.
bdb_db_open: Recovery skipped in read-only mode. Run manual recovery if errors are encountered.

[root@pdc ldap]# slapcat

[root@pdc ldap]# slapcat

[root@pdc ldap]# slapd_db_recover

[root@pdc ldap]# slapcat



sembra tutto tranquillo...


[root@pdc ldap]# service ldap start
/var/lib/ldap/__db.004 is not owned by "ldap" [ATTENZIONE]
/var/lib/ldap/__db.003 is not owned by "ldap" [ATTENZIONE]
/var/lib/ldap/__db.001 is not owned by "ldap" [ATTENZIONE]
/var/lib/ldap/__db.005 is not owned by "ldap" [ATTENZIONE]
/var/lib/ldap/__db.006 is not owned by "ldap" [ATTENZIONE]
/var/lib/ldap/__db.002 is not owned by "ldap" [ATTENZIONE]
Controllo file di configurazione per slapd: [FALLITO]
bdb_db_open: Database cannot be opened, err 13. Restore from backup!
bdb(dc=orchite,dc=lan): DB_ENV->lock_id_free interface requires an environment configured for the locking subsystem
backend_startup_one: bi_db_open failed! (13)
slap_startup failed (test would succeed using the -u switch)
file stale lock possono essere presenti in /var/lib/ldap [ATTENZIONE]

[root@pdc ldap]#

Allora c'e'un problema evidente:

slapd vuole che i db.00n siano posseduti dall'user di sistema ldap
slapd_db_recover reimposta l'owner a root.

Vado a mangiare, nel frattempo questi due si mettano d'accordo.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Commenti a questo messaggio
  microzott: ma come hai visto s?
Friday, 20 June 2008, 15:52
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Sta finendo a schiaffoni come al solito.

Qui si tratta di ricreare il db con un LDIF (l'originale era stato creato al minimo sindacale da webmin).

Prima di procedere (visto che e'il punto 6) approfitto per passare all'aspirazione del SID dal PDC attuale, quindi capitolo 9.

L'apertura non e'delle piu' certe.

Appena inserita la pwd per il rootdn in secrets.tdb, viene ordinato di cancellare proprio quel file. Non solo, pure tutti i "samba control tdb files" che, se sono quelli che penso io, sono un'esagerazione e mi sembra strano voglia passare col napalm.

vediamo che si dice in giro per la rete....

prima di tutto dove sta secrets.tdb, ce lo dice find ma ce lo dice anche... samba howto guide su linuxtopia.
Quote:

TDB Database File Information

This section contains brief descriptions of the databases that are used by Samba-3.
The directory in which Samba stores the tdb files is determined by compile-time directives. Samba-3 stores tdb files in two locations. The best way to determine these locations is to execute the following command:

root# smbd -b | grep PRIVATE_DIR

[root@pdc private]# smbd -b | grep PRIVATE_DIR
PRIVATE_DIR: /var/lib/samba/private


e poi
Quote:

This means that the confidential tdb files are stored in the /etc/samba/private directory. Samba-3 also uses a number of tdb files that contain more mundane data. The location of these files can be found by executing:

root# smbd -b | grep LOCKDIR

[root@pdc private]# smbd -b | grep LOCKDIR
LOCKDIR: /var/lib/samba

che e'la mamma, dove c'e' tutto il porcaio di tdb files gia'visto

alcuni sono persistenti, altri solo temporanei.
A cosa si riferira' terpstra?

Famolo strano, muoviamoli tutti fora d'i bal.

Fatte le modifiche ai vari files di config (per slapd.conf e'solo un check) con l'attenzione a nsswitch.conf che avra'una configurazione "stage 1" in cui ignorera' ldap (server spento) per poi essere riconfigurato in stage 2 "ldap-aware" passiamo l'aspirapolvere.

pingare il pdc per nome netbios.... ok risponde
siccome in questa fase samba e' BDC, non fa da wins server ma punta proprio alla macchina NT come server wins, puo'essere che il miracolo sia fatto da QUEL wins server ma non mi pongo il problema, avevo configurato bind e tutti i resolver in modo da supportare la ricerca su nome secco.

L'unica cosa che un dns non puo'fare e' la ricerca di un DC, di un dominio o di un master browser in base ai suffissi 1B, 1D, 1C, 00 al loro nome netbios.

Per questo c'e' wins ... a regime. In questa fase ci basta che risolva il nome.

Aspirazione


root# net rpc info -S NBNAMEDELPDC

Quote:
[root@pdc private]# net rpc info -S NT_GUSTAVO
[2008/06/20 16:43:28, 0] param/loadparm.c:map_parameter(2789)
Unknown parameter encountered: "ldap master server"
[2008/06/20 16:43:28, 0] param/loadparm.c:lp_do_parameter(3536)
Ignoring unknown parameter "ldap master server"
[2008/06/20 16:43:28, 0] param/loadparm.c:map_parameter(2789)
Unknown parameter encountered: "ea supprto"
[2008/06/20 16:43:28, 0] param/loadparm.c:lp_do_parameter(3536)
Ignoring unknown parameter "ea supprto"
Password:
Could not connect to server NT_GUSTAVO
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE

Intanto ho trovato due cazzate mie ed una sua:

il parametro lasciato appeso ldap master server (da remmare)
una zottata: supprto al posto di support
occorre lo username!

Quote:
[root@pdc private]# net rpc info -S NT_GUSTAVO
Password:
Could not connect to server NT_GUSTAVO
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE
[root@pdc private]#

Ecchilo

Quote:
[root@pdc private]# net rpc info -S NT_GUSTAVO -U Adminchiam
Password:
Domain Name: ORCHITE
Domain SID: S-1-5-21-ECCETERA
Sequence number: 206158431960
Num users: 94
Num domain groups: 10
Num local groups: 1
[root@pdc private]#
Ora si tratta di stoccarlo in secrets.tdb

net setlocalsid S-1-5-21-ECCETERA

ed il file screts.tdb e'stato ricreato.

sara'il caso di rimetterci una rootpw dentro?
sara'il caso di rifare il join al dominio?

mah....
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Rispondi Invia Nuova Discussione


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 visitatori)
 

Thread già visto da:
C0m4nch3, microzott, taunus, Pocket, ggigi99, DDAAXX, Duke Nukem, glaio, SkidArh+, Carambola, ale105, indio, Jaco, robbytedesco, RomeoKnight, SanK, foul64, revenge, paco, Morpheus, Jarod, Duilio, Carson, JoeBar, palin, Scarpetta, S71ng, lupic, ERBA_CATTIVA, Lutero, seepo, Ssnake, kaos, AbsyntH, codiaz, anita, BRAVO 2, samdolgoff, SatRider, Foxes, ale82x, Neles, Attilio, CORTOilMALTESE, davide72, Pepito Sbazzeguti, Luther71, TW, ivanmau, Luca, Mig, thehawk, Taglioecucito, Bramins, dvfjami, DariosPOsar
Strumenti Discussione Cerca in questa Discussione
Cerca in questa Discussione:

Ricerca Avanzata
Modalità Visualizzazione

top Regole di scrittura
Tu non puoi inserire messaggi
Tu non puoi rispondere ai messaggi
Tu non puoi inviare allegati
Tu non puoi modificare i tuoi messaggi

codice vB è Attivo
Smilies è Attivo
[IMG] il codice è Attivo
Il codice HTML è Attivo

Se hai problemi, contattaci


Visite Totali Posts: 71.993.075
Tutti gli Orari sono GMT +1. Attualmente sono le 03:26.

iGroup Black
Powered by vBulletin Versione 3.5.6
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Traduzione italiana a cura di: Enzo-Staff-VbulletinItalia.it
 
2000, 2012 © Visiva Group