PDC Samba + LDAP, howto

[podkovyrsty]

Код: [Выделить]

# wbinfo -?
Usage: wbinfo [OPTION...]
...
  -t, --check-secret                   Check shared secretБазовая проверка функционирования winbind.
Вот почему он никаких ошибок при этом не выдаёт - непонятно.

Стоп, а в каком месте тут winbind, если тут нет pdc на Win*?

[xoy]

Подскажите...
Есть сферический сервер в вакууме на нем linux + лдап

Ну собственно вопросы:
1) будут несколько серверов с авторизацией через ldap  - как  было определять список разрешенный машин для логина?
2) как сделать возможность определения остальных параметров(дом каталог, оболочка входа) в зависимости от машины (

[AnrDaemon]

0) Что вы хотите сделать?
Вообще.

[xoy]

0) Что вы хотите сделать?
Вообще.

ну вроде описал в первом и втором...
но если не достаточно...
есть сервер ebox в качестве контроллера домена.
еще хочется чтобы эти же пользователи ходили на другой сервер по ssh.

соответственно у на разных серверах разные хомы...
на первом /home/samba/....
на втором /var/www/hosting

[AnrDaemon]

Если бы я понял из 1 и 2, я бы не спрашивал. Заведите оба сервера в домен и пользуйтесь.

[xoy]

и как вы представляете
логин пользователей если в домене прописана хома  /home/samba/.... как должна быть на одном сервере.
а на втором должна быть /var/www/hosting

[AnrDaemon]

При чём тут домашний каталог домена, если пользователи заходят на удалённый сервер по SSH?

[xoy]

Прошу прощения в терминологии лдап ничего не понимаю, буду по простому

есть схема по которой происходит авторизация ssh пользователя posixAccount
в ней есть объект homeDirectory который вынимается pam_ldap при логине.
так вот значение этого параметра заданно по умолчанию /home/samba/users/username
и заодно значение loginShell равно /bin/false

как с такими параметрами входить в никсы?
когда хоум /var/www/hosting
и shell - /bin/bash
Пользователь решил продолжить мысль 28 Апреля 2011, 17:07:18:Я потому и задал архитектурный вопрос, что если вдруг у меня будет два сервера с ssh и нужно будет пользователя на одном пустить, а на другом нет.
как вообще решается этот вопрос с лдап...

[AnrDaemon]

Ну так скажите, чтобы не вынимал... Это всё настраивается.

[xoy]

Спасибо кэп! КАК?!
Я за этим и пришел.

[podkovyrsty]

Спасибо кэп! КАК?!
Я за этим и пришел.

У вас ssh через pam - так? Значит вам нужны настройки pam_ldap, где указывается что он и как вынимает из лдапа. Нужно вписать туда фильтр, чтобы не вынимала хомяки, или вынимала и меняла не лету.
А вообще - завести ведомую базу ldap на каждом сервере и заставить их синхронизироваться. Хомяки оставить свои у каждого.

[xoy]

спасибо за конструктивный ответ.
Я гуглю на тему pam_ldap, но ничего конкретного не нашел...
То есть я видел там параметр filter, но насколько я понял там речь о ограничении поиска в рамках одного критерия (например можно выбирать пользователей только из определенной группы)...

А вот nss_ldap есть какие-то экстендет параметры, что-то связанное с конвертацией на лету, но что это за модуль и его место в системе авторизации так и не понял...


Спасибо за вариант с репликацией тоже неплохое решение...

[AnrDaemon]

Вы гуглите не там. Вам PAM гуглить надо.

[yok]

Скажите как исправить такую ошибку?

[root@xserver log]# service ldap start
/var/lib/ldap/__db.006 is not owned by "ldap"              [ВНИМАНИЕ!]
/var/lib/ldap/uidNumber.bdb is not owned by "ldap"         [ВНИМАНИЕ!]
/var/lib/ldap/uid.bdb is not owned by "ldap"               [ВНИМАНИЕ!]
/var/lib/ldap/cn.bdb is not owned by "ldap"                [ВНИМАНИЕ!]
/var/lib/ldap/__db.004 is not owned by "ldap"              [ВНИМАНИЕ!]
/var/lib/ldap/__db.003 is not owned by "ldap"              [ВНИМАНИЕ!]
/var/lib/ldap/sn.bdb is not owned by "ldap"                [ВНИМАНИЕ!]
/var/lib/ldap/sambaPrimaryGroupSID.bdb is not owned by "lda[ВНИМАНИЕ!]
/var/lib/ldap/__db.001 is not owned by "ldap"              [ВНИМАНИЕ!]
/var/lib/ldap/__db.002 is not owned by "ldap"              [ВНИМАНИЕ!]
/var/lib/ldap/sambaDomainName.bdb is not owned by "ldap"   [ВНИМАНИЕ!]
/var/lib/ldap/id2entry.bdb is not owned by "ldap"          [ВНИМАНИЕ!]
/var/lib/ldap/dn2id.bdb is not owned by "ldap"             [ВНИМАНИЕ!]
/var/lib/ldap/displayName.bdb is not owned by "ldap"       [ВНИМАНИЕ!]
/var/lib/ldap/gidNumber.bdb is not owned by "ldap"         [ВНИМАНИЕ!]
/var/lib/ldap/sambaSID.bdb is not owned by "ldap"          [ВНИМАНИЕ!]
/var/lib/ldap/__db.005 is not owned by "ldap"              [ВНИМАНИЕ!]
/var/lib/ldap/objectClass.bdb is not owned by "ldap"       [ВНИМАНИЕ!]
Запускается slapd:                                         [  OK  ]
[root@xserver log]#

[AnrDaemon]

Что, на гугл транслейт уже банить начали?

А чтобы этого больше не повторятлось - не надо запускать обслуживание БД из-под рута.