https://opennet.dev/openforum/vsluhforumID1/75641.html Доброго времени!<br>Возникла необходимость производить аутентификацию через LDAP, установленный на FreeBSD сервере. Клиент - Linux Debian.<br>LDAP сервер сконфигурирован и настроен. Через него (через самбу) авторизируются WinXPSP2 клиенты.<br><br>Чтобы не приводить опять конфиги и не рассматривать варианты, которые я уже перепробовал, дам ссылки на мои темы с этой проблемой в других форумах:<br><br>http://forum.lissyara.su/viewtopic.php?f=8&t=4461<br>http://linuxforum.ru/index.php?showtopic=46326<br><br>Там есть все конфиги и попытки решения проблемы.<br><br>Добавлю, что курил Яндекс довольно долго, плюс находил на этом форуме кучу таких же тем и мануалов на эту тему. Ничего не выходит, и еще все они написаны для конфигурации в пределах одной машины, а мне надо именно авторизацию клиентов. <br><br>Помогите пожалуйста!!!<br> https://opennet.dev/openforum/vsluhforumID1/75641.html#19 Tue, 17 Nov 2009 15:48:05 GMT &gt;Как проблема то решилась? <br>&gt;У меня похожая ситуация, в ACL разрешено все, <br>&gt;в логах <br>&gt;pam_ldap: error trying to bind as user "cn=test123,ou=users,dc=cluster,dc=ru" (Invalid cre <br>&gt;dentials) <br>&gt;ldapsearch -H ldaps://localhost/ -x -w "123" -D "cn=test123,ou=users,dc=cluster,dc=ru" <br>&gt;работает как положено <br>&gt;<br>&gt;getent passwd пользователя из ldap показывает, а залогиниться не может. <br>&gt;id test123 говорит нет такого пользователя. <br><br>у меня аналогично :(<br> https://opennet.dev/openforum/vsluhforumID1/75641.html#18 Thu, 04 Jun 2009 10:23:12 GMT Как проблема то решилась?<br>У меня похожая ситуация, в ACL разрешено все,<br>в логах<br>pam_ldap: error trying to bind as user "cn=test123,ou=users,dc=cluster,dc=ru" (Invalid cre<br>dentials)<br>ldapsearch -H ldaps://localhost/ -x -w "123" -D "cn=test123,ou=users,dc=cluster,dc=ru"<br>работает как положено<br><br>getent passwd пользователя из ldap показывает, а залогиниться не может.<br>id test123 говорит нет такого пользователя.<br> https://opennet.dev/openforum/vsluhforumID1/75641.html#17 Mon, 13 Aug 2007 06:41:48 GMT &gt;вам сюда: <br>&gt;http://www.openldap.org/doc/admin23/slapdconfig.html#Access%20Control <br><br>Составлена опа у меня вроде правильно:<br>access to attrs=userPassword<br> by self write<br> by anonymous auth<br> by * none<br><br>access to *<br> by self write<br> by anonymous read<br> by * none<br><br> https://opennet.dev/openforum/vsluhforumID1/75641.html#16 Mon, 13 Aug 2007 06:33:36 GMT &gt;&gt;в сторону ACL <br>&gt;<br>&gt;Простите мое возможно невежество (в nix системах я не долго). <br>&gt;Но при чем тут ACL? На файловой системе у меня оно не <br>&gt;используется. <br>&gt;<br>&gt;Объясните пожалуйста поподробнее. Чем мне и как может помочь ACL в данном <br>&gt;случае. <br><br>ACL это аббревиатура и звучит она так: access control list или список контроля доступа.<br>у практически любого сервиса связанного с безопасностью есть этот самый ACL (название может быть другим, суть не меняется)<br>поскольку речь шла о slapd, то и ответ был о ACL у slapd<br>вам сюда:<br>http://www.openldap.org/doc/admin23/slapdconfig.html#Access%20Control<br> https://opennet.dev/openforum/vsluhforumID1/75641.html#15 Mon, 13 Aug 2007 06:06:22 GMT &gt;в сторону ACL <br><br>Простите мое возможно невежество (в nix системах я не долго).<br>Но при чем тут ACL? На файловой системе у меня оно не используется.<br><br>Объясните пожалуйста поподробнее. Чем мне и как может помочь ACL в данном случае.<br> https://opennet.dev/openforum/vsluhforumID1/75641.html#14 Mon, 13 Aug 2007 06:00:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Просто команда: <br>&gt;&gt;&gt;ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию <br>&gt;&gt;&gt;из LDAP базы. <br>&gt;&gt;<br>&gt;&gt;ну вот и нашли где зарыта ваша проблема. читайте и ковыряйте ваш <br>&gt;&gt;ldap сервер, пока ldap admin и test не будут получать необходимую <br>&gt;&gt;им информацию <br>&gt;<br>&gt;Подскажите в какую сторону ковырять ? <br><br>в сторону ACL<br><br><br><br><br> https://opennet.dev/openforum/vsluhforumID1/75641.html#13 Mon, 13 Aug 2007 05:54:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;ldap_bind: Can't contact LDAP server (-1) <br>&gt;&gt;<br>&gt;&gt;Просто команда: <br>&gt;&gt;ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию <br>&gt;&gt;из LDAP базы. <br>&gt;<br>&gt;ну вот и нашли где зарыта ваша проблема. читайте и ковыряйте ваш <br>&gt;ldap сервер, пока ldap admin и test не будут получать необходимую <br>&gt;им информацию <br><br>Подскажите в какую сторону ковырять ?<br> https://opennet.dev/openforum/vsluhforumID1/75641.html#12 Mon, 13 Aug 2007 05:51:34 GMT &gt;Система приглашает ввести LDAP password, я провожу его ввод. <br>&gt;Причем пробовал и пароль от юзера test и root пароль, результат один: <br>&gt;<br>&gt;<br>&gt;ldap_bind: Can't contact LDAP server (-1) <br>&gt;<br>&gt;Просто команда: <br>&gt;ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию <br>&gt;из LDAP базы. <br><br>ну вот и нашли где зарыта ваша проблема. читайте и ковыряйте ваш ldap сервер, пока ldap admin и test не будут получать необходимую им информацию<br><br> https://opennet.dev/openforum/vsluhforumID1/75641.html#11 Mon, 13 Aug 2007 05:44:02 GMT &gt;[оверквотинг удален]<br>&gt;&gt;conn=4 op=2 RESULT tag=97 err=49 text= <br>&gt;<br>&gt;err=49 это Invalid credentials <br>&gt;<br>&gt;ну вот видно, что 49 получаем простым запросом и pam_ldap тут не <br>&gt;причём. ковыряем права в slapd и пробуем делать нужные действия от <br>&gt;имени вышеуказанного юзера. <br>&gt;начните так: <br>&gt;ldapsearch -H ldap://ldap_server:389 -x -W -b "ou=users,dc=PCDServer,dc=ru" -D "uid=test,ou=users,dc=PCDServer,dc=ru" "objectclass=PosixAccount" uid userPassword <br>&gt;<br><br>Система приглашает ввести LDAP password, я провожу его ввод.<br>Причем пробовал и пароль от юзера test и root пароль, результат один:<br><br>ldap_bind: Can't contact LDAP server (-1)<br><br>Просто команда:<br>ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию из LDAP базы.<br>