Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Оффлайн LDAP Авторизация  (Прочитано 3918 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн maxkamensky

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Оффлайн LDAP Авторизация
« : 25 Августа 2010, 16:50:52 »
1. Структура сети: домен на Samba+LDAP. клиенты Ubuntu 10.04/9.10

2. конфиги на которых все работает в онлайн режиме, когда сервер ldap доступен.
/etc/ldap.conf
(Нажмите, чтобы показать/скрыть)

/etc/nscd.conf
(Нажмите, чтобы показать/скрыть)

/etc/nsswitch.conf
(Нажмите, чтобы показать/скрыть)

/etc/ntp.conf
(Нажмите, чтобы показать/скрыть)

/etc/resolv.conf
(Нажмите, чтобы показать/скрыть)

/etc/samba/samba.conf
(Нажмите, чтобы показать/скрыть)

/etc/ldap/ldap.conf
(Нажмите, чтобы показать/скрыть)

/etc/security/group.conf
(Нажмите, чтобы показать/скрыть)
PAMs:
/etc/pam.d/common-account
(Нажмите, чтобы показать/скрыть)
/etc/pam.d/common-auth
(Нажмите, чтобы показать/скрыть)
/etc/pam.d/common-password
(Нажмите, чтобы показать/скрыть)
/etc/pam.d/common-session
(Нажмите, чтобы показать/скрыть)

/etc/auth-client-config/profile.d/open_ldap
(Нажмите, чтобы показать/скрыть)

Используя эти конфиги любой пользователь может зайти на любом компе в сети под своим логином/паролем.
Получит каталог /home/ИмяПользоватея
команда getent passwd - дает нам всех живых юзверей, под которыми можно логиниться
getent group - группы в ldap
ldapsearch - отлично работает с сервером
Русские символы в именах и путях принципиально не используются.
Ubuntu стоит без русской локализации.
Всего стоит около 600 машин с такой конфигурацией, из них 400 - в филиалах. филиалы все висят на арендованной оптике.
раз в месяц отпадает 1-2 филиала на пару часов.

общие параметры аутентификации на текущий момент:
auth-client-config -S
(Нажмите, чтобы показать/скрыть)


Задача:
сделать так, чтобы при пропадании связи пользователи могли логиниться под своим логином/паролем.

документация для решения:
1. взята за основу статья: http://morfair.livejournal.com/4330.html
2. и вот этот мануал: https://help.ubuntu.com/community/PamCcredsHowto

шаги, которые уже сделаны и с чем не понятно, как разбираться.

1. добавлен файл /etc/auth-client-config/profile.d/open_ldap_cc
(Нажмите, чтобы показать/скрыть)
2. он применен командой
     auth-client-config -a -p /etc/auth-client-config/profile.d/open_ldap_cc
3. выполняем команду nss_updatedb ldap
passwd... done.
group... done.
ls - l /var/lib/misc/*.db
-rw-r--r-- 1 root root  20480 2010-08-25 17:31 /var/lib/misc/group.db
-rw-r--r-- 1 root root 208896 2010-08-25 17:31 /var/lib/misc/passwd.db
файлы благополучно появляются.
4. меняем файл nsswitch.conf до состояния
(Нажмите, чтобы показать/скрыть)

5. из под рута делаю su username
получаю ошибку:
root@ub129:/# su max
su: Insufficient credentials to access authentication data
(Ignored)
max@ub129:/$

в auth.log для аналогичного пользователя
Aug 25 17:44:53 ub129 su[1597]: pam_ldap: error trying to bind (Invalid credentials)
Aug 25 17:44:53 ub129 su[1597]: Successful su for annan by root
Aug 25 17:44:53 ub129 su[1597]: + /dev/pts/0 root:annan
Aug 25 17:44:53 ub129 su[1597]: pam_unix(su:session): session opened for user annan by user(uid=0)


вот и вопрос: куда копать дальше??????  :-\
в родном мануале достаточно старые настройки для pam модулей.
подскажите, кто чем может  ;)
Зачем спрашивать "Как дела?", если мы живём в одной стране?

Оффлайн z_s_s

  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #1 : 25 Августа 2010, 17:36:43 »
Я эту проблемку пока отложил, т.к. возникла другая.
У меня настройки через auth-client-config регулярно переписываются обновлениями.
Вот, прямо сейчас меняю систему на  pam-auth-update
Только, не пойму как в ней прописывать настройки для nssswitch ...
И при просмотре по диагонали:
у тебя УРЛы определены и в  ldap.conf , и в ldap.d\*.
Не пересекаются?

Оффлайн maxkamensky

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #2 : 25 Августа 2010, 18:59:04 »
у тебя УРЛы определены и в  ldap.conf , и в ldap.d\*.
Не пересекаются?
не понял, что смотреть?
ldap://10.10.0.1 в обоих файлах? в /etc/ldap.conf и в /etc/ldap/ldap.conf
это вроде нормально.
а чем хороша pam-auth-update?
Зачем спрашивать "Как дела?", если мы живём в одной стране?

Оффлайн z_s_s

  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #3 : 25 Августа 2010, 19:55:26 »
Нас тут двое ... Страшна ...  ;D
не понял, что смотреть?
ldap://10.10.0.1 в обоих файлах? в /etc/ldap.conf и в /etc/ldap/ldap.conf
...
а чем хороша pam-auth-update?
А зачем одно и тоже в двух местах? Отсекай такое.
А про pam-auth-update ... Она не хороша. Плоха auth-client-config.
Апдейты PAM ругаются, что файлы правились в ручную и предлагают их перезаписать.
Перезаписываешь - что-то работает, что-то нет (НАпример строчка про homedir теряется).
Не перезаписываешь - как  правило, не работает.
Ну, у меня - так.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #4 : 26 Августа 2010, 04:44:31 »
/etc/ldap.conf и в /etc/ldap/ldap.conf это два разных места.
Обычно вообще симлинк делают с одного файла на другой.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн maxkamensky

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #5 : 26 Августа 2010, 08:44:24 »
Цитировать
/etc/ldap.conf и в /etc/ldap/ldap.conf это два разных места.
Обычно вообще симлинк делают с одного файла на другой.

если почистить от мусора оба файла, то получится вот что:
/etc/ldap/ldap.conf
(Нажмите, чтобы показать/скрыть)
/etc/ldap.conf
(Нажмите, чтобы показать/скрыть)

единственная похожая строка uri ldapi:///10.10.0.1
и BASE   dc=imexgroup,dc=loc - но это вряд ли на что-то критично влияет  :-\
и чем отличается uri ldap:///10.10.0.1 от uri ldapi:///10.10.0.1
и это вообще имеет какое-то отношение к оффлайн настройкам?
все машины, которые живут под этими конфигами отлично проходят онлайн авторизацию.
может есть таки направление куда копать для успешного оффлайна?

 :'( epic fail при гуглении своей проблемы наткнуться на свою же тему про "как решить?"  ;D
« Последнее редактирование: 26 Августа 2010, 08:46:25 от maxkamensky »
Зачем спрашивать "Как дела?", если мы живём в одной стране?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #6 : 26 Августа 2010, 11:27:55 »
и чем отличается uri ldap:///10.10.0.1 от uri ldapi:///10.10.0.1

Протоколом.
ldap - tcp
ldapi - unix socket

Для оффлайна ставятся slave ldap сервера в филиалах.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн maxkamensky

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #7 : 26 Августа 2010, 11:31:52 »
и чем отличается uri ldap:///10.10.0.1 от uri ldapi:///10.10.0.1

Протоколом.
ldap - tcp
ldapi - unix socket

Для оффлайна ставятся slave ldap сервера в филиалах.
если у меня нет возможности по железу ставить slave ldap сервера в филиалах, то можно ведь как-то сделать на каждой машине ldap кеш обновляемый регулярно и авторизироваться из него?
Зачем спрашивать "Как дела?", если мы живём в одной стране?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #8 : 26 Августа 2010, 11:34:24 »
Неверю...
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн maxkamensky

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #9 : 26 Августа 2010, 11:39:01 »
Неверю...
если так, то придется ставить 32 дополнительных сервера, по 1 в каждом филиале. а это будет ппц, как дорого  ???
получается что под виндой я могу  заходить какое-то время под доменным пользователем в отсутствии домена, а под убунтой - нет??
Зачем спрашивать "Как дела?", если мы живём в одной стране?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #10 : 26 Августа 2010, 23:57:47 »
Если вам не нужно заходить в домен для работы, то зачем городили такой огород? Достаточно было просто сделать ppp подключения отдельных пользователей.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн maxkamensky

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #11 : 27 Августа 2010, 10:50:18 »
Если вам не нужно заходить в домен для работы, то зачем городили такой огород? Достаточно было просто сделать ppp подключения отдельных пользователей.
пользователи во время работы пользутся общими ресурсами сети, к которым применены и нужны их доменные права.
а делать на 400 человек ррр соединения - попахивает гемороем.
есть еще какое-нибудь решение кроме дополнительных ldap серверов?
Зачем спрашивать "Как дела?", если мы живём в одной стране?

Оффлайн z_s_s

  • Новичок
  • *
  • Сообщений: 28
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #12 : 27 Августа 2010, 12:44:58 »
Вот и я смотрю, что мои мысли совпадают с софорумниками ...
Что такое "филиал", если там нельзя поднять серверок ...
Если надо работать с сетевыми ресурсами при оффлайне с Центром, то значит на "филиале" есть сетевые ресурсы.
И, что - они ничем не обслуживаются, не предоставляются?
А что, центральные сервер глобального каталога нигде не дублируется?
Что-то тут как-то не так. Точнее - я бы советовал сначала сделать инфраструктуру соответствующую задачам, а потом уже и дальше ...
Задам вопрос так: на филиале есть шкаф с серверным оборудованием?

Оффлайн maxkamensky

  • Автор темы
  • Любитель
  • *
  • Сообщений: 94
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #13 : 27 Августа 2010, 13:13:46 »
Вот и я смотрю, что мои мысли совпадают с софорумниками ...
Что такое "филиал", если там нельзя поднять серверок ...
филиал - магазин.

Если надо работать с сетевыми ресурсами при оффлайне с Центром, то значит на "филиале" есть сетевые ресурсы.
местный менеджмент - горные бараны, которые экономят абсолютно на всем. поставить мало-мальскую машину под сервер в каждом филиале космически не реально.

И, что - они ничем не обслуживаются, не предоставляются?
с сетевыми ресурсами в оффлайне работать не надо. надо чтобы люди просто могли логиниться в машину, большинство ресурсов необходимых для работы есть локально.

А что, центральные сервер глобального каталога нигде не дублируется?
дублируется, но стоит в серверной центрального офиса.

Что-то тут как-то не так. Точнее - я бы советовал сначала сделать инфраструктуру соответствующую задачам, а потом уже и дальше ...
Задам вопрос так: на филиале есть шкаф с серверным оборудованием?
конечно нет серверного шкафа.
насчет задач: ИТ менеджера в конторе нет. и по ходу не предвидится. объяснять руководству, что нормальная инфраструктура - это хорошо, абсолютно бесполезно. и если я прошу на какой-то ответственный участок купить циску, дай бог, чтобы это мудачье купило хотя бы длинк. потому что здесь в моде всякая хрень типа noname, tplink, microtic. и у руководства одна отговорка - оно же работает!
вот так все херово.
а когда я говорю, что на имеющемся оборудовании и в имеющейся инфраструктуре нельзя решить какие-то задачи, мне говорят, что моя месячная зарплата уйдет в пользу гондураса. и самое печальное, что они не блефуют :-[


сори. накипело.

PS про оффлайн что-то есть полезное посоветовать?
Зачем спрашивать "Как дела?", если мы живём в одной стране?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Re: Оффлайн LDAP Авторизация
« Ответ #14 : 27 Августа 2010, 16:03:23 »
Если вам не нужно заходить в домен для работы, то зачем городили такой огород? Достаточно было просто сделать ppp подключения отдельных пользователей.
пользователи во время работы пользутся общими ресурсами сети, к которым применены и нужны их доменные права.
а делать на 400 человек ррр соединения - попахивает гемороем.

Мхмм? У вас УЖЕ есть всё это. PPP с LDAP авторизацией и подключением к сети...

Пользователь решил продолжить мысль 27 Августа 2010, 16:09:58:
Что-то тут как-то не так. Точнее - я бы советовал сначала сделать инфраструктуру соответствующую задачам, а потом уже и дальше ...
Задам вопрос так: на филиале есть шкаф с серверным оборудованием?
конечно нет серверного шкафа.
насчет задач: ИТ менеджера в конторе нет. и по ходу не предвидится. объяснять руководству, что нормальная инфраструктура - это хорошо, абсолютно бесполезно. и если я прошу на какой-то ответственный участок купить циску, дай бог, чтобы это мудачье купило хотя бы длинк. потому что здесь в моде всякая хрень типа noname, tplink, microtic. и у руководства одна отговорка - оно же работает!
вот так все херово.

Будешь смеяться, но оно действительно работает. Только покупать надо именно то, что тебе нужно. У меня две циски сгорели так за два года, а Д-Линк уже третий год работает, там же.
« Последнее редактирование: 27 Августа 2010, 16:09:58 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.044 секунд. Запросов: 23.