Хм.
Спасибо, конечно, автору перевода, правда ничего нового там не описано. Авторизация через LDAP локальных пользователей, IMHO, самое простое, что можно сделать с LDAP.

>Я работаю в Red Hat Linux...

>Когда я проинсталлировал модуль РАМ LDAP, то поначалу он не работал, поскольку система не могла обнаружить его библиотеки.

>Я добавил в /etc/ld.so.conf такую строку: /usr/local/lib

Нда, хороши "спецы" работают в Red Hat.

Интересно, сколько времени он потерял на решение этой "проблемы"?

А что, этого нельзя делать ни при каких условиях?

Большое спасибо автору!

Спасибо, копаем дальше.

Хм. vitamin, напиши про "посложнее", а мы тебе спасибо скажем.

А без PAM'а как-нть сделать можно?

Насколько я понял из опций configure, большинство программ(samba, postfix, ftp, squid, etc) позволяют ходить за user/passwords в LDAP нативно, а не через pam_ldap, или я ошибаюсь?

Нужно сделать адресную книгу через LDAP,
раздел общих адресов, личные.
Все должно храниться на сервере.
Подскажите,где можно прочитать про азы LDAP и про адресную книгу (по-русски).

посложнее postfix+ldap+courier-imap правда нифига не сложнее на практике - дока статейку писать влом -небось уже ест ькуча таких...

/usr/doc - самая спрятанная папка в системе :)

>А без PAM'а как-нть сделать можно? все можно сделать, без памов надо чтобы проги умели в ldap "лазить"

off topic: сколько пишу, никак не привыкну включать preformated text, а может это не во мне дело?

Ага... Где не читаю доку, хоть на английском, хоть на немецком, хоть на каком... Связки вида squid+samba+mail(postfix/etc+courier)+ftp+etc всё написано с использованием PAM'а. А мне надо без него.
И все программы, вроде бы, умеют "ходить" напрямую в LDAP, а всё равно никак не подружу...

Outlook Address Book

как сделать штобы Outlook Address Book показывал весь спысок адресов

>га... Где не читаю доку, хоть на английском, хоть на немецком, хоть на 
>каком... Связки вида squid+samba+mail(postfix/etc+courier)+ftp+etc всё 
>написано с использованием PAM'а. А мне надо без него.
>И все программы, вроде бы, умеют "ходить" напрямую в LDAP, а всё равно 
>никак не подружу...

Как поймешь принцип, так и подружишь
В принцыипе в README файлах которые идут с openldap, postfix, samba 
...etc... ест ьвсе что нужно для настройки. И очень редко действительно 
появляется необходимость взглянууть в исх. код что-бы понять логику 
работы, но это не документированные фичи, например SLAPD_MULTIMASTER ...

Спасибо, попробую... А тогда такой вопрос - в силу устоявшихся правил полностью отказаться от AD никак нельзя, можно ли LDAP, который на AD оставить вторичным, т.е. основным LDAP-сервером сделать OpenLDAP, а MSAD научить ходить туда за записями?

Говорят, что MS сильно подточила(попреки заявлениям самой MS) ldap(+керберос), которые входят в АД и что такое(см выше) врядли возможно.

>можно ли LDAP, который на AD оставить вторичным, т.е. основным >LDAP-сервером сделать OpenLDAP, а MSAD научить ходить туда за записями?

незнаю ... :-) отстал от жизни :-) никогда не работал с AD, уже несколько лет не нажимал кнопку "пуск"...

Чем LDAP здесь удобнее самопального PAM-модуля, умеющего лазить в SQL базу за шифорванным паролем?

*****

Я работаю в Корпорации Монстров :)

Может кому пригодится

These are my notes about how I got OpenLDAP (v2.0.7), OpenSSL (v0.9.5a), SASL (v1.5.24) and MIT KerberosV (v1.2.2) to work together.

http://www.bayour.com/LDAPv3-HOWTO.html

не забывай те, что оригинал статьи допотопный!

>Может кому пригодится

саныч, ты как всегда в лужу пукнул. там рассказывается тольно как настроить, а про саму идеологию ничего нет!

имхо, статься, попсовая, ничего нового нет.

Можно и вез pam_ldap -- подкрутить nsswitch.conf на предмет откуда брать данные. Но там свои грабли... Мне без nscd-демона не удалось заставить эту конструкцию нормально работать.

PS. А необходимость хранить cleartext password в конфиге меня всегда смущала. При том, что в LDAP есть привилегия ``auth''. Может, кто-то заставил это чудо крутиться без binddn с правами чтения паролей?

В статье написано: Оригинал статьи может быть найден по адресу:
http://www.openldap.org./lists/openldapsoftware/200010/msg0009

Ссылка кривая. Нельзя ли подправить?

>Когда я проинсталлировал модуль РАМ LDAP, то поначалу он не работал, поскольку система не могла обнаружить его библиотеки.

>Я добавил в /etc/ld.so.conf такую строку: /usr/local/lib
А я всегда думал, что PAM модули надо в /lib/secur.....
ложить

LDAP System Administration By Gerald Carter Publisher : O'Reilly Pub Date : March 2003 Pages : 308

господа, забейте на этот перевод, который базируется на статье 2000 года, которая базируется на книге 1996 года....

лдап бэк-енд на шеловских скриптах... yahoo.eu

а у меня не получается прикрутить ldap+cyrus imap cyrus всё-равно пытается лезть в sasldb2 , а не в лдап :( нарыл кучу доков , пробывал сделать по ним - тоже самое :( может кто помочь?

> В статье написано: Оригинал статьи может быть найден по адресу: > http://www.openldap.org/lists/openldapsoftware/200010/msg0009

> Ссылка кривая. Нельзя ли подправить?

Исправлено. http://www.linuxrsp.ru/artic/auth_ldap.html

>Чем LDAP здесь удобнее самопального PAM-модуля, умеющего лазить в
>SQL базу за шифорванным паролем?

А тем что Ldap это не только база данных, сначала читать что такое LDAP....
Зачем писать второй LDAP на самопальных модулях, тем более это потребует массу времени.

Да и буковка L все еще мешает реализации того что было задуманно.

статья не стоит внимания. страждущим использовать лдап: не увидел ниодного внятного вопроса

отвечаю вкратце: pam пережиток 20 века и совершенно спокойно можно обходится без него (весь сфот который упоминался в этом треде может обходится без pam);

маздайный AD умеет реплицироваться с openldap. и наоборот. правда есть некоторые вещи специфики именно виндовых сетей, для которых пока openldap не подходит (а оно нам надо?), но 100% идентичность данных организовать не сложно;

90% вопросов разрешено в рассылке openldap

> маздайный AD умеет реплицироваться с openldap. и наоборот. правда есть некоторые вещи специфики именно виндовых сетей, для которых пока openldap не подходит (а оно нам надо?), но 100% идентичность данных организовать не сложно;

как?

> pam пережиток 20 века и совершенно спокойно можно обходится без него

Согласен на все 100%. Но как быть конкретно с ldap? Насколько мне
известно, пока не существует достойных реализаций LDAP без PAM.
Если знаешь такую реализацию, то может подскажешь, где и что?

>Согласен на все 100%

Согласен процентов на 5:-). LDAP - это справочная информация. Аутенти(фи)?кационная справочной не является. Система может поддерживать несколько методов аутентикации - поэтому система аутентикации должна быть модульная. Что значит аббревиатура PAM все помнят?

Да, она справочная, но привязана к PAM. Если это не так, то дай мне
ссылку на реализацию LDAP для Unix без PAM.

> Система может поддерживать несколько методов аутентикации - поэтому система аутентикации должна быть модульная

То же самое делается через nsswitch.conf(5). И тоже через
модули-библиотеки. Я что-то не очень вижу связь/зависимость между pam
и nsswitch интерфейсом. Может кто-нибудь более знающий может просветить?

>дай мне ссылку на реализацию LDAP для Unix без PAM.

В Tru64 Unix - ldapsia модуль. Это не PAM, скорее обьединение нескольких функций nsswitch и pam под одной крышей.

>> Система может поддерживать несколько методов аутентикации

>То же самое делается через nsswitch.conf(5)

Не то же. Покажи мне как в nsswitch+ldap проверить аутентичность пользователя с помощью по какой-нибудь one-time-password схеме. Это если у клиента брелок с генератором случайных чисел, которые используются как пароли.

> В Tru64 Unix - ldapsia модуль.

Я не сомневался, что это возможно. Хотелось бы еще увидеть нечто, что
могло бы работать не только в true64.

> как в nsswitch+ldap проверить аутентичность пользователя с помощью по
какой-нибудь one-time-password схеме

Так ведь libnss_SERVICE.so ничем не ограничена. Пиши свой SERVICE как
душе угодно, и делай любые проверки.

>libnss_SERVICE.so ничем не ограничена.

Еще как ограничена.

0. Что если я хочу проверить пароль одним из 3х методов(one-time-pass, kerberos, /etc/shadow). Держать 3 записи? И как с этим разберется getspent?

1. пользователь получает одноразовый пароль, сервер должен проверить, находится ли этот пароль в базе _рядом_ с текущим состоянием генератора. То есть пароль неоднозначен.

2. где в nss функция для выполнения требуемых для начала/конца сеанса действий(типа получить TGT, уничтожить его)?

3. В конце концов NSS=NameServiceS... Сервис имен _не_ предназначен для аутентикации. Хотя _может_ быть использован для нее. В простых случаях.