Username
Password

Networking

Area di Discussione sulle Telecomunicazioni
Rispondi Invia Nuova Discussione 
Friday, 20 June 2008, 16:53
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

Re: LDAP - vogliamo solo parlarne o ci sporchiamo anche le mani?


Quote:
microzott: ma come hai visto s?

da un warning di slapd

attr e' DEPRECATED, ora si usa attrs


/etc/openldap/slapd.conf: line 88: "attr" is deprecated (and undocumented); use "attrs" instead.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Friday, 20 June 2008, 16:59
lupic
 Assimilato
 
L'avatar di  lupic
 
 Località: moon
 Messaggi: 6,643

ma tu ancora non hai formattato?
__________________
...le opinioni da me espresse in questo forum, nel bene e nel male, riflettono solo il mio pensiero e non impegnano ne coinvolgono per nessun motivo lo staff del VisivaGroup.
...morirò comunista!

governare gli italiani non è difficile, è inutile.
B.M.

    Rispondi Citando Rispondi
Commenti a questo messaggio
  Duilio: *nix non formatta
Friday, 20 June 2008, 17:00
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

Nota invece che il metodo diretto, nonostante quello che indichi Terpstra, non vuole la pwd di admin
Quote:
[root@pdc private]# net rpc getsid -S NT_GUSTAVO -U Adminchiam
Storing SID S-1-5-21-ECCETERA for Domain ORCHITE in secrets.tdb

ed equivale alle due operazioni sopra, senza necessita'di copiancolla del SID
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Friday, 20 June 2008, 17:03
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

Adesso l'aspirazione del contenuto del dominio prevederebbe la configurazione degli script IDEALX, cioe'smbldap-tools tramite il loro script perl configure.pl (che nell' rpm non ho ancora cercato).

questo pero'presume che il db usato da openldap sia coerente e che il DIT sia popolato con la base corretta, cio' e' da fare.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Friday, 20 June 2008, 17:11
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

Torniamo quindi al capitolo 5

Abbiamo saltato i punti

- generare SID
- spegnere samba
- sistemare le share con NFS (per eventuale link PDC/BDC che non ci serve)

Finita la config di samba (per ora), si torna a LDAP

Occorrera' ricordarsi subito dopo di rimettere in coda ldap dove e'stato remmato in nsswitch.conf per renderlo compliant con lo stage 2 citato al capitolo 9

'tacci sua
e di chi non glielo dice......
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Commenti a questo messaggio
  Neles: 'tacci sua
Friday, 20 June 2008, 17:54
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

ovviamente la configurazione di samba era finita... ma questi parametri prima non c'erano

unix charset = LOCALE
time server = yes
enable privileges = yes

tanto vale controllare anche la zona ldap....

ah, si ritorna di nuovo PDC, essere BDC servira' per succhiare gruppi ed utenti, per il SID invece non c'e'stato neanche bisogno di accendere il demone, e'stato un declassamento inutile ....

torniamo wins server (wins support = yes) e domain master.


Qui ci troviamo due alternative ed una nuova ambiguita'.

Le alternative sono:
- seguire i due passi successivi nell'ordine: prima smbldap-tools e poi popolare con questi il database. questo si morde un po'la coda. Per configurare gli script server un database coerente, per popolare il database servono gli script configurati.

- in appendice c'e'il metodo a manina per popolare il db.

Poi c'e'la solita sola a proposito del dilemma ou=people/computers.

Qui si dice che esista una sola possibilita'per nss_base_passwd in /etc/ldap.conf mentre lo stesso Terpstra prima parlava di duplicabilita'.
Quote:
The configuration file for the nss_ldap library is the file /etc/ldap.conf that provides only one possible LDAP search command that is specified by the entry called nss_base_passwd.

Quindi o si mettono le machines sotto ou=people o si fa puntare la ricerca nss_base_passwd un gradino sopra nel DIT.

Anche qui, si metta d'accordo con se stesso e poi torni a farsi interrogare di nuovo

Do'un'occhiata in appendice

cd /etc/openldap
mkdir SambaInit
chown root:root SambaInit
chmod SambaInit

a questo punto vengono concatenati 3 files in uno script ed altri due in un file ldif.
Lo script ha bisogno della rootpw inserita, cominciamo a darci una risposta.

Reinseriamo smbpasswd -w popocatepetl

[root@pdc log]# smbpasswd -w Kilaueua
Setting stored password for "cn=supremor,dc=orchite,dc=lan" in secrets.tdb

sempre ammesso che il rootdn sia lo stesso... io modifico a mano ogni volta i dati sensibili, chissa'cosa avevo scritto l'ultima volta?
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Friday, 20 June 2008, 18:11
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

non va....

anche qeusto script necessita di slapd avviato ed il cane continua a mordersi la coda.

Occorre un LDIF minimale da inserire a demone fermo.
E' possibile perche' esistono due serie di script:
/usr/bin/ldapXXX e /usr/sbin/slapXXX

una serie lavora a demone attivo (come gli script smbldap-tools) e l'altra a demone spento.

Siccome slapcat e slaptest funzionano a demone spento.... slapadd e'il candidato a mettere una pezza.

Lo si vede dal passo successivo, che usa proprio slapadd per inserire il file LDIF generato dallo script. Se lo avesse generato

Il problema di manfesta qui

sed "s/TLDORG/${TLDORG}/g" < $file.tmp2 > $DOMNAME.ldif

non gli piace il redirect a $DOMNAME.ldif, tocca debuggarlo.

Probably gli manca qualcosa che avrebbe dovuto ottenere dallo slapd che non sta girando.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Friday, 20 June 2008, 18:17
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

ALLA FACCIA DELL'AMBIGUO REDIRECT.....


orchite NT-Domain-NameorWorkgroup-Name,eg:MIDEARTH orchite.ldif

questo e'il contenuto di DOMNAME

c'e'qualcosa di troppo in testa

magari un problemino di concat degli spezzoni di script ha generato un intruso o forse cicca ad interrogare il dominio....

vediamo...
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Friday, 20 June 2008, 18:23
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

La minchiata deve stare nel file smb.conf da cui estrae il parametro workgroup

DOMNAME=`grep -i workgroup ${CONF} | sed "s/ //g" | cut -f2 -d=`

echo Domain Name: $DOMNAME

gia'qui l'echo e' sporco e dipende dal fatto che viene passato al sed tutto il match, sia la riga col parametro vero, sia la successiva con il rem e l'esempio d'uso di workgroup.

E'evidente che Terpstra ha tarato tutta la narrazione, compreso lo script, su un smb.conf depurato con testparm -s (lo dice pure....) ed infatti ricordo che in prima installazione usai uno script che si occupava di lanciare in editing smb.master.conf e poi in uscita eseguiva la distillazione.

'tacci sua

e di chi non gli legge nel pensiero....
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Friday, 20 June 2008, 18:56
microzott
 Francesco
 Staff
 
L'avatar di  microzott
 
 Località: :magica:
 Età: 55
 Messaggi: 13,319

ma non ti costava di meno una AD con win2003?
__________________
Tutto cio' che si puo' scassare, si rompera' nel giorno peggiore.
    Rispondi Citando Rispondi
Friday, 20 June 2008, 19:54
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

questa e' politica ...

E poi quante licenze, figliolo?
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Sunday, 22 June 2008, 11:45
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

Prima di riprovar con il smb.conf ripulito dai commenti, metto qui altri tentativi vittoriosi che magari portano bene.


Anche LDAP-mini-HowTo non porta male
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Sunday, 22 June 2008, 14:58
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

cvd

dopo aver frugato questi semplici casi pratici alla ricerca dii banalita' che gli howto di massimi sistemi disdegnano e- risultato chiaro che avessi fatto un po'di casino cancellando il db brutalmente.

Avevamo interrotto i lavori con la generazione di un file LDIF per inizializzare un nuovo db al punto in cui lo script che doveva fare questo lavoro per noi ha sputato un smb.conf pieno dei suoi commenti.

Rinominato in smb.master.conf e strippato via dei commenti con un baaatche che esegue testparm -s -f /etc/samba/smb.master.conf >/etc/samba/smb.conf e corretto un a capo nei parametri dell- add machine script che generava un errore durante lo strip, abbiamo ottenuto un smb.conf minimale.

Lanciato lo script di Terpstra (nella dir che contiene sia lo script che, soprattutto, il template di ldif, otteniamo il nostro ambito ORCHITE.LDIF

Su questo eseguo un paio di correzioni cosmetiche, tipo i nomi dei gruppi minuscoli, e aggiungo per copiancolla ed edit un gruppo dompcs con gid 515 che conterra' a regime i machine accounts.

Questa porzione secondo me, cioe' quella che inserisce nel LDIF i gruppi unix corrispondenti ai gruppi del dominio si potrebbe anche segare e rimandare al momento dell'aspirazione del contenuto del dominio.

A margine, un bel chmod 700 /var/lib/ldap.

a questo punto a server slapd spento uno
slapadd -v -d 1 -l ORCHITE.LDIF

ignorare i suoi lamenti.

I file di db sono ricreati con owner root:ldap e non va ancora bene

slaptest

e tutto file liscio

slapd_db_recover

e tutto fila liscio

chown ldap:ldap /var/lib/ldap/*


service ldap restart


ed il server decolla

a questo punto si possono usare i comandi ldapXXXX

come ldapsearch -x "cn=dom*" ed ecco che vengono listati i gruppi che iniziano per dom.

Il demone gira, ricordarsi di istruirne l'avviamento al reboot

chkconfig --level 3 ldap on
chkconfig --level 5 ldap on
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Monday, 23 June 2008, 14:12
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

E'evidente che patisce le giornate lavorative.

dopo averlo fatto funzionare ho spento la VM e ne ho fatto un backup.
Riavviando stamattina, tutto fluido sino al login ma la validazione della pwd porta via tempo cosi'come la successiva ricostruzione del desktop.

Non ci sono processi avidi di cpu.

spengo slapd, e'spento.

uff....

controllo il log ed ha dato rogne al riavvio in fase di boot.

disabilito il suo riavvio e rebootto. tutto liscio.

Manina manetta:

Quote:
[root@pdc ~]# service ldap restart
Interruzione di slapd: [FALLITO]
Controllo file di configurazione per slapd: [FALLITO]
bdb_db_open: unclean shutdown detected; attempting recovery.
bdb_db_open: Recovery skipped in read-only mode. Run manual recovery if errors are encountered.

bdb(dc=orchite,dc=lan): PANIC: fatal region error detected; run recovery
bdb_db_open: Database cannot be opened, err -30974. Restore from backup!
bdb(dc=orchite,dc=lan): DB_ENV->lock_id_free interface requires an environment configured for the locking subsystem
backend_startup_one: bi_db_open failed! (-30974)
slap_startup failed (test would succeed using the -u switch)
file stale lock possono essere presenti in /var/lib/ldap [ATTENZIONE]
[root@pdc ~]#

hurm, che significa che il mio ambiente non supporta il lock?
E'una conseguenza della rogna precedente o ne e' la causa?

vamos a googlar, companeros...
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Monday, 23 June 2008, 14:15
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,898

ma prima...

Quote:
[root@pdc ~]# cd /var/lib/ldap
[root@pdc ldap]# ls -al
totale 68556
drwx--S--- 2 ldap ldap 4096 22 giu 14:32 .
drwxr-xr-x 30 root root 4096 13 giu 16:41 ..
-rw-r--r-- 1 ldap ldap 4096 23 giu 14:07 alock
-rw------- 1 ldap ldap 8192 22 giu 14:28 cn.bdb
-rw------- 1 ldap ldap 24576 22 giu 14:41 __db.001
-rw------- 1 ldap ldap 80019456 22 giu 14:41 __db.002
-rw------- 1 ldap ldap 187506688 22 giu 14:40 __db.003
-rw------- 1 ldap ldap 2359296 22 giu 14:41 __db.004
-rw------- 1 ldap ldap 352256 22 giu 14:40 __db.005
-rw------- 1 ldap ldap 24576 22 giu 14:40 __db.006

-rw-r----- 1 ldap ldap 1100 20 giu 13:40 DB_CONFIG
-rw------- 1 ldap ldap 8192 22 giu 14:28 displayName.bdb
-rw------- 1 ldap ldap 8192 22 giu 14:28 dn2id.bdb
-rw------- 1 ldap ldap 8192 22 giu 14:28 gidNumber.bdb
-rw------- 1 ldap ldap 32768 22 giu 14:28 id2entry.bdb
-rw------- 1 ldap ldap 8192 22 giu 14:28 objectClass.bdb
-rw------- 1 ldap ldap 8192 22 giu 14:28 sambaDomainName.bdb
-rw------- 1 ldap ldap 8192 22 giu 14:28 sambaSID.bdb
[root@pdc ldap]# slapd_db_recover
[root@pdc ldap]# ls -al
totale 108
drwx--S--- 2 ldap ldap 4096 23 giu 14:13 .
drwxr-xr-x 30 root root 4096 13 giu 16:41 ..
-rw-r--r-- 1 ldap ldap 4096 23 giu 14:07 alock
-rw------- 1 ldap ldap 8192 22 giu 14:28 cn.bdb
-rw-r----- 1 ldap ldap 1100 20 giu 13:40 DB_CONFIG
-rw------- 1 ldap ldap 8192 22 giu 14:28 displayName.bdb
-rw------- 1 ldap ldap 8192 22 giu 14:28 dn2id.bdb
-rw------- 1 ldap ldap 8192 22 giu 14:28 gidNumber.bdb
-rw------- 1 ldap ldap 32768 22 giu 14:28 id2entry.bdb
-rw------- 1 ldap ldap 8192 22 giu 14:28 objectClass.bdb
-rw------- 1 ldap ldap 8192 22 giu 14:28 sambaDomainName.bdb
-rw------- 1 ldap ldap 8192 22 giu 14:28 sambaSID.bdb
[root@pdc ldap]#

geppiu'
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Rispondi Invia Nuova Discussione


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 visitatori)
 

Thread già visto da:
C0m4nch3, microzott, taunus, Pocket, ggigi99, DDAAXX, Duke Nukem, glaio, SkidArh+, Carambola, ale105, indio, Jaco, robbytedesco, RomeoKnight, SanK, foul64, revenge, paco, Morpheus, Jarod, Duilio, Carson, JoeBar, palin, Scarpetta, S71ng, lupic, ERBA_CATTIVA, Lutero, seepo, Ssnake, kaos, AbsyntH, codiaz, anita, BRAVO 2, samdolgoff, SatRider, Foxes, ale82x, Neles, Attilio, CORTOilMALTESE, davide72, Pepito Sbazzeguti, Luther71, TW, ivanmau, Luca, Mig, thehawk, Taglioecucito, Bramins, dvfjami, DariosPOsar
Strumenti Discussione Cerca in questa Discussione
Cerca in questa Discussione:

Ricerca Avanzata
Modalità Visualizzazione

top Regole di scrittura
Tu non puoi inserire messaggi
Tu non puoi rispondere ai messaggi
Tu non puoi inviare allegati
Tu non puoi modificare i tuoi messaggi

codice vB è Attivo
Smilies è Attivo
[IMG] il codice è Attivo
Il codice HTML è Attivo

Se hai problemi, contattaci


Visite Totali Posts: 70.618.075
Tutti gli Orari sono GMT +1. Attualmente sono le 06:34.

iGroup Black
Powered by vBulletin Versione 3.5.6
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Traduzione italiana a cura di: Enzo-Staff-VbulletinItalia.it
 
2000, 2012 © Visiva Group