Sida 1 av 2
Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger? (AD)
Postat: 28 aug 2007, 15:36
av Emil.s
I skolan så ska vi nu ägna terminen åt att sätta upp en ActiveDirectory server, med domän och hela köret. Nätverksinloggning, delade kataloger och allt. Ja, ni vet.
Inga problem så långt, men det vore ju kul om man kunde göra något liknande med Linux istället...
Är det OpenLDAP som gäller då?
Skulle någon kunna förklara lite snabbt om hur det fungerar i grunden, eller länka till något schysst howto?
Skulle vara riktigt trevligt i såfall.
Skulle ju även vara trevligt att ha hemma, då vi snart har 3 datorer (+ servern), alla men minst 2 OS, varav OS X, WinXP/Vista och en massa linx är aktuellt. För Alla dessa stödjer väl OpenLDAP?
Hur som hellst så fungerar ju OpenLDAP med typ phpBB och en massa annat sådant också, så det kan ju vara bra att kunna därför också...
Och går det att autentisera över internet? Eller är det för osäkert? Men det bör ju gå att skydda med SSL...
Och är följande scenario möjligt?
1. Hemma så loggar jag in på MacBooken med det anv/passwd som används på servern.
2. Sparar några filer, kan välja att spara på hårddisken, eller på den automatiskt utdelade volymen som monterats under /home/*user*/server_katalogen som bara jag kommer åt.
3. Åker bort, och loggar in på datorn med det anv/passwd som fungerade senast.
Och oj vad mycket det blev.
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 29 aug 2007, 18:40
av johanre
I dagsläget skulle jag säga: ja, OpenLDAP + Kerberos + Samba - men det beror faktiskt lite på vilket problem man försöker lösa... Jag tror snarare att du är ute efter det som Samba 4 erbjuder:
http://news.samba.org/releases/4.0.0tp5/
Får svara mer senare när jag hunnit fundera lite...
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 30 aug 2007, 15:28
av Emil.s
Hm, ok.
Kanske ska börja i lite mindre skala...
Enklast möjliga då, Ubuntu i en Virtuell maskin på en Ubuntu burk.
Bara autentisering...
Vad ska jag använda då?
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 30 aug 2007, 18:51
av maths57
Det verkar som om det är många här på forumet som kör VirtualBox. Annars kan man pröva VMware Server.
Har du en kraftfull dator med mycket RAM kan du kanske köra ett litet viruellt nätverk i en dator genom att köra några virtuella maskiner på en gång.
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 30 aug 2007, 18:58
av Emil.s
maths57 skrev:
Det verkar som om det är många här på forumet som kör VirtualBox. Annars kan man pröva VMware Server.
Har du en kraftfull dator med mycket RAM kan du kanske köra ett litet viruellt nätverk i en dator genom att köra några virtuella maskiner på en gång.
Jo, virtualiseringen är inga problem. Har jag utnyttjat för många projekt tidigare.
Är autentiseringen jag inte vet hur jag ska lösa.
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 30 aug 2007, 19:18
av maths57
Missförstod dig där. Sorry.
Det är alltså lite HOW-TO du skulle vilja ha? Är det något sånt här du är ute efter?
Linux Journal
openldap.org
ibm.com
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 30 aug 2007, 21:05
av Emil.s
maths57 skrev:
Missförstod dig där. Sorry.
Det är alltså lite HOW-TO du skulle vilja ha? Är det något sånt här du är ute efter?
Linux Journal
openldap.org
ibm.com
Ah, nice. Mycket bättre.
Dock så är jag en riktig nybörjare på hur det här med "katalogtjänster" eller vad det nu kallas fungerar. Men jag tror jag fixar det med
http://www.linuxjournal.com/article/6266
Mycket bättre än en guide jag hittade förut... Här väl av mig om (när) jag får problem.
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 30 aug 2007, 22:09
av mattiash
Tja
Jag kör en openldap där sedan alla mina användare ligger i.
Sedan kopplar jaga bara olika moduler till den som tex
mail apache php java.
På så sätt använder man samma användarnamn och lösenord på alla ställen.
Jag har följt denna super enkla guid för att sätta upp server
https://help.ubuntu.com/community/OpenLDAPServer
Där finns även en how to för att koppla linux clieter till server.
Sedan använder jag NFS för att montera ut /home till clienterna och så kan dom enkelt logga in.
Vill du ansluta från en windows maskin är det lite bökigare.
Då måste först din ldapserver ha stöd för samba och dina användare ha samba rättigheter och lösenord.
Sedan sätter du upp samba till att kolla sian användre mot ldap server.
(goggla bara samba ldap lär du få massor med svar)
Jag gjorde även min samba till domän kontrolant så kan sedan användaren enkelt logga in och
bums finns alla hemmappar och kataloger och skrivare där.
// matte
( goggle samba PDC)
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 01 sep 2007, 18:00
av maths57
Snubblade nyss av en slump på
SettingUpSamba på Ubuntu documentation.
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 09 sep 2007, 21:46
av Emil.s
Ok, kör för fullt här.
Har följt "Quick install guide", och nu ser filerna ut så här:
slapd.conf:
Kod: Markera allt
root@Megaleif: /etc/openldap # cat slapd.conf
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/misc.schema
# Allow LDAPv2 client connections. This is NOT the default.
allow bind_v2
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
# Load dynamic backend modules:
modulepath /usr/lib/openldap
# moduleload accesslog.la
# moduleload auditlog.la
# moduleload back_sql.la
# moduleload denyop.la
# moduleload dyngroup.la
# moduleload dynlist.la
# moduleload lastmod.la
# moduleload pcache.la
# moduleload ppolicy.la
# moduleload refint.la
# moduleload retcode.la
# moduleload rwm.la
# moduleload syncprov.la
# moduleload translucent.la
# moduleload unique.la
# moduleload valsort.la
# The next three lines allow use of TLS for encrypting connections using a
# dummy test certificate which you can generate by changing to
# /etc/pki/tls/certs, running "make slapd.pem", and fixing permissions on
# slapd.pem so that the ldap user or group can read it. Your client software
# may balk at self-signed certificates, however.
TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
TLSCertificateFile /etc/pki/tls/certs/slapd.pem
TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem
# Sample security restrictions
# Require integrity protection (prevent hijacking)
# Require 112-bit (3DES or better) encryption for updates
# Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64
# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
# Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
access to *
by self write
by users read
by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
#######################################################################
# ldbm and/or bdb database definitions
#######################################################################
database bdb
suffix "dc=sandnabba,dc=se"
rootdn "cn=admin,dc=sandnabba,dc=se"
rootpw {SSHA}DInNtBwrDåS3o7IW37h/utfWnK6dYu2B
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory /var/lib/ldap
# Indices to maintain for this database
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
# Replicas of this database
#replogfile /var/lib/ldap/openldap-master-replog
#replica host=ldap-1.example.com:389 starttls=critical
# bindmethod=sasl saslmech=GSSAPI
# authcId=host/ldap-master.example.com@EXAMPLE.COM
Men jag är osäker på om det är rätt:
Kod: Markera allt
root@Megaleif: /etc/openldap # ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts
# extended LDIF
#
# LDAPv3
# base <> with scope baseObject
# filter: (objectclass=*)
# requesting: namingContexts
#
# search result
search: 2
result: 0 Success
# numResponses: 1
Ska det se ut så?
För sen så verkar det vara stopp:
Kod: Markera allt
root@Megaleif: /etc/openldap # ldapadd -x -D "cn=admin,dc=sandnabba,dc=se" -W -f sandnabba.ldif
Enter LDAP Password:
warning: no attributes to add (entry="dc=sandnabba,dc=se objectclass: dcObject objectclass: organization o: Hemligt dc: sandnabba")
adding new entry "dc=sandnabba,dc=se objectclass: dcObject objectclass: organization o: Hemligt dc: sandnabba"
ldap_add: Protocol error (2)
additional info: no attributes provided
sandnabba.ldif:
Kod: Markera allt
root@Megaleif: /etc/openldap # cat sandnabba.ldif
dn: dc=sandnabba,dc=se
objectclass: dcObject
objectclass: organization
o: Hemligt
dc: sandnabba
dn: cn=admin,dc=sandnabba,dc=se
objectclass: organizationalRole
cn: admin
Kör för tillfället "Fedora 7", men det ska väl inte spela någon roll...
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 09 sep 2007, 22:30
av mattiash
Tja
Ska du köra den så att en windows burk ska logga in ?
Då måste in includera sceman för den i i din slap.conf fil.
Se till att du har samba.sheman filen och includera den i din slap.conf fil som dom andra filerna.
Sedan ska du inte hålla på att adminsterar ldap användrana med komandoraden.
http://diradmin.open-it.org/
Installera denna sitället är ett grafiskt verktyg och det gör allt åt dig.
Du behöver inte ens ha den server utan kan koppla uppdig från en annan dator med grafiskt gränssnitt.
Vill du hellre ha en med webbgränsnitt kör du denna
http://phpldapadmin.sourceforge.net/
Kan du göra allt med din ldapserver men jag tycker den är mekig att lägga till nya användra med.
http://luma.sourceforge.net/
En till grafisk i java.
Annars så funkar webbmin jag hade det redan på server och körde vidare på den.
Så efter att du har fått in användarna och dom scheman för dom moduler du behöver sedan är det bara slänga på server efter server.
// matte
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 09 sep 2007, 23:23
av Emil.s
Windows blir ett senare projekt. Nu ska jag bara ha igång det Linux/Linux. Tänkte installera Ubuntu i en virtuell maskin, och sen autentisera mot värd maskinen (Fedora). För det är precis så det kommer att vara uppbyggt här hemma sen...
Servern med Fedora, sen Ubuntu, OS X och Windows mot den. Men till att börja med Linux/Linux.
Och nej, självklart så kan man inte sitta och lägga till användarna så där. Men jag följde bara guiden.
Lär man inte lägga till någon sorts "admin" först eller?
I OS X har men dessutom något som heter "katalog" och "katalogverktyg" som verkar var gjort just för detta. Se:
http://sandnabba.se/~emil/Screenshots/P ... ogverktyg/
Dock så verkar det inte gå att ansluta med "admin" genom dialogen i "Bild3"
Men ser det bra ut annars?
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 12 sep 2007, 20:12
av Emil.s
Hm, småproblem... (hoppas jag). Började med "Directory Administrator". Men då möts jag av denna trevliga lilla ruta:
http://sandnabba.se/~emil/Screenshots/P ... p-fel1.png
Och i phphLdapadmin så verkar jag inte kunna skapa något alls. Måste ange UID och GID (såklart), men några grupper finns inte, och går inte heller att skapa...
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 12 sep 2007, 23:25
av mattiash
Tja Då ska vi styra upp så du får ett struktur på din ldap server.
Strukturen gör så du fyller på trädet där du sedan kan lägga dina användare och grupper.
http://www.padl.com/OSS/MigrationTools.html
Här kan du hitta migration tool
Det migrations till gör är att den kollar alla dina användare grupper host och sä lägger den in alla dom i din ldap server.
I migration tool finns det en fil som heter migrate_common.ph:
Och där fyller du in din ldap server inställningar
DEFAULT_BASE till dina inställningar
http://wiki.acm.jhu.edu/Moving_to_LDAP#Move_users_over
Sedan kan du köra dom olika scripten
börja med ./migrate_base > base.ldif -- vet inte riktigt vad den heter kolla bland scripten
./migrate_passwd.pl /etc/passwd > /tmp/users.ldif // gör en fil med användarna
./migrate_group.pl /etc/groups > /tmp/groups.ldif // gör en fil med grupperna
Du kan även göra samma sak med hosts,shadow ja du ser alla scripten du fick med migrationtool
Sedan är det bara att lägga in alla filerna börja med base.ldif så du får strukturen
Efetr det kan du lägga in användarna och grupperna
slapadd < base.ldif
slapadd < users.ldif
slapadd < groups.ldif
Sedan ska det rocka och du ska komma åt det med direktory index.
( tror även du kan få migration med apt-get)
// matte
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 15 sep 2007, 12:28
av Emil.s
Hm, funkar att skapa .ldif filerna, men sen:
Kod: Markera allt
root@Megaleif: /home/emil/src/MigrationTools-47/ldif # slapadd < base.ldif
bdb_db_open: database already in use
backend_startup_one: bi_db_open failed! (-1)
slap_startup failed
base.ldif:
Kod: Markera allt
root@Megaleif: /home/emil/src/MigrationTools-47/ldif # cat base.ldif
dn: dc=sandnabba,dc=se
dc: sandnabba
objectClass: top
objectClass: domain
dn: ou=Hosts,dc=sandnabba,dc=se
ou: Hosts
objectClass: top
objectClass: organizationalUnit
dn: ou=Rpc,dc=sandnabba,dc=se
ou: Rpc
objectClass: top
objectClass: organizationalUnit
dn: ou=Services,dc=sandnabba,dc=se
ou: Services
objectClass: top
objectClass: organizationalUnit
dn: nisMapName=netgroup.byuser,dc=sandnabba,dc=se
nismapname: netgroup.byuser
objectClass: top
objectClass: nisMap
dn: ou=Mounts,dc=sandnabba,dc=se
ou: Mounts
objectClass: top
objectClass: organizationalUnit
dn: ou=Networks,dc=sandnabba,dc=se
ou: Networks
objectClass: top
objectClass: organizationalUnit
dn: ou=People,dc=sandnabba,dc=se
ou: People
objectClass: top
objectClass: organizationalUnit
dn: ou=Group,dc=sandnabba,dc=se
ou: Group
objectClass: top
objectClass: organizationalUnit
dn: ou=Netgroup,dc=sandnabba,dc=se
ou: Netgroup
objectClass: top
objectClass: organizationalUnit
dn: ou=Protocols,dc=sandnabba,dc=se
ou: Protocols
objectClass: top
objectClass: organizationalUnit
dn: ou=Aliases,dc=sandnabba,dc=se
ou: Aliases
objectClass: top
objectClass: organizationalUnit
dn: nisMapName=netgroup.byhost,dc=sandnabba,dc=se
nismapname: netgroup.byhost
objectClass: top
objectClass: nisMap
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 16 sep 2007, 15:57
av mattiash
Tja !
Har du testat att ta bort allt som finns i databasen ?
sudo rm -rf /var/lib/ldap/*
Sedan köra
slapadd < base.ldif
eller testa att göra
sudo /etc/init.d/slapd stop // stoppa servern
sudo rm -rf /var/lib/ldap/* // töm det som finns i den
sudo slapadd -l base.ldif // lägg till filen
sudo chown -R openldap:openldap /var/lib/ldap // fixa rättigheterna
sudo /etc/init.d/slapd start // när du e klar med fielna starta upp allt igen
Kolla igenom din base men hittar inget fel i den så den borde funka.
Man kan även direkt i phpladadmin lägga till ldif filer oh om jag inte minns fel har du det igång.
Då kan du alltså först tömma databasen sedan gå till phpldapadmin och därifrån köra in ldif filen.
JO Kolla i phpldapadmin så att det är tomt i databasen innan du kör in ldif filen.
// matte
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 16 sep 2007, 18:11
av Emil.s
Ok, får då detta mddelande:
Kod: Markera allt
root@Megaleif: /home/emil/src/MigrationTools-47/ldif # ldapadd -x < base.ldif
adding new entry "dc=sandnabba,dc=se"
ldap_add: Strong(er) authentication required (8)
additional info: modifications require authentication
"Strong(er) authentication required (8)", lär man logga in på något sätt!? Jag är ju root...
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 19 sep 2007, 21:55
av mattiash
Fan också jag har haft detta någon gång men jag vet inte hur jag löste det.
Kan inte komma på något men
" meditera över detta jag ska"
Testa grejsa runt ibland kan det ju lösa sig magiskt
// matte
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 19 sep 2007, 22:00
av Emil.s
Ska installera om med Ubuntu nu. Såg föresten att Ubuntu Gutsy har "eBox" med i serverversionen. Verkar ju finnas något sorts Ldap verktyg med där.
Och vad gör egentligen flaggan "-x" till de textbaserade ldap verktygen? Man behöver ju den, för annars så får man ett helt annat klurigt meddelande...
Och finns det några andra sätt att lägga till användare, grupper, hosts osv i databasen? Eller är det där med "migrationtools" "standard"?
Och när man väljer "katalogtjänst" i OS X, då är det "Open Directory" som ingår i OpenLdap va?
SV: Nätverksautentisering - OpenLDAP? // Automatiskt anslutna delade kataloger?
Postat: 20 sep 2007, 22:56
av mattiash
Tja
Jag brukar inte använda den egentligen använda den till att admistrera användarna.
Utan jag kör bara in base så man får grunden och sedan group filen.
Då får jag alla grupper som jag behöver du vill ha med sudo och sound grupp så ljud och sånna saker funkar.
Men när jag väll fått i det så basen finns där använder jag webmin eller direktory admin för att jobba med användarna.
-x kommer inte ihåg
-L är väll för att tala om att den ska ta imot en ldif fil tror jag.
// matte
