Koozali.org: home of the SME Server
Other Languages => Italiano => Topic started by: Ghilteras on May 18, 2012, 09:49:34 AM
-
Salve ragazzi, qualcuno è riuscito ad autenticarsi tramite nss o pam all'ldap server di sme? sto cercando di fare in modo che sulle mie macchine gli utenti si possano loggare con le stesse id/pw della posta elettronica sincronizzandosi con LDAP
nell'auth.log però osservo che sebbene il bind con il server riesca l'utente non riesce mai a loggarsi per RESULT tag=97 err=49 invalid credentials.
la cosa curiosa è che localmente tutto funziona, cioè se provo a loggarmi sul server stesso, il suo pam si collega al suo stesso ldap e riesco a joinare, ma se uso una differente macchina agganciata a ldap l'autenticazione fallisce sempre
qualcuno è riuscito ad effettuare questo setup? se si come? (nscd, nslcd, libpam-ldap, libpam-ldapd.. etc. etc.)
-
a cosa ti serve l'autenticazione? che cosa la deve effettuare? che servizi?
-
Stefano su sme ho LDAP naturalmente
e ho diverse macchine virtuali di sviluppo che vorrei collegare via pam all'LDAP di sme
gli sviluppatori per accedere alle loro macchine dovrebbero loggarsi con le loro credenziali (le stesse della mail, anch'essa sincronizzata con ldap) invece di usare credenziali che ogni volta devo forgiare ad hoc (useradd) o di aggiungere certificati per fargli fare passwordless root, in questo modo so chi si logga e cosa fa
-
ciao
non ho mai affrontato il problema quindi non sono ferratissimo.
desumo che le macchine che devono autenticarsi sono X-like..
io ho effettuato correttamente il join di macchine ubuntu (9.04 per la precisione) a SME.. e questo comporta anche la modifica di parametri di pam..
visto che su SME 8 gli utenti sono su ldap, potresti seguire questa via.
facci sapere, in bocca al lupo
-
stefano fammi capire, dopo che hai joinato le macchine nel dominio gli utenti con cui ti loggavi sulle macchine via ssh erano quelli di ldap?
ricordi che tipo di modifiche hai effettuato a pam?
grazie
-
stefano fammi capire, dopo che hai joinato le macchine nel dominio gli utenti con cui ti loggavi sulle macchine via ssh erano quelli di ldap?
posto che ho joinato macchine ubuntu (una, con LTPS) a uno SME7 (ergo no ldap), ritengo che se joini la macchina tu ti possa loggare con gli utneti di dominio.. che, su SME8 sono OVVIAMENTE quelli presenti in ldap
ricordi che tipo di modifiche hai effettuato a pam?
grazie
ho seguito questa guida:
http://wiki.contribs.org/Client_Authentication:Ubuntu
ovviamente potrebbe non funzionare..
ma pensandoci bene a questo punto non è il client che deve andare a interrogare ldap su SME in quanto non usi ldap per autenticarti, ma samba.
per ulteriori info cerca come joinare client linux (nel tuo flavour preferito) ad un DC samba
l'alternativa, considerando che auth su ldap funziona solo in localhost, è di creare un tunnel ssh.. puoi dare un'occhiata al flag -R di ssh (usato qualche tempo fa per risolvere un problema dietro a connessione Fartweb)
-
Stefano la tua idea mi piace, la proverò presto, ma concedimi ancora un paio di domande:
1) questo setup ti garantisce anche i profili mobili? Perchè ora come ora mi accontenterei anche solo del fatto che on ssh login ti autocrea la home sul server linux, l'automount degli share complicherebbe troppo le cose perchè girando sme su una vm dovrei fare che lo share che automonta non è fisicamente sulla sme ma su uno share samba esposto da una qnap e non ne ho realmente bisogno per ora
2) è possibile in questo modo fare in modo che pam_winbind permetta la login solo ad alcuni utenti di dominio? diciamo quelli appartenenenti solo ad un gruppo? questo tramite pam_ldap lo potevo ottenere legando gli utenti ad un posix group, ma con questo setup come dici tu non sarebbe ldap a occuparsi delle acl
-
Stefano la tua idea mi piace, la proverò presto, ma concedimi ancora un paio di domande:
anche volendo, come potrei non concedertele? :-)
1) questo setup ti garantisce anche i profili mobili? Perchè ora come ora mi accontenterei anche solo del fatto che on ssh login ti autocrea la home sul server linux, l'automount degli share complicherebbe troppo le cose perchè girando sme su una vm dovrei fare che lo share che automonta non è fisicamente sulla sme ma su uno share samba esposto da una qnap e non ne ho realmente bisogno per ora
l'automount non è necessario obbligatorio.. basta che ignori quella parte della guida..
2) è possibile in questo modo fare in modo che pam_winbind permetta la login solo ad alcuni utenti di dominio? diciamo quelli appartenenenti solo ad un gruppo? questo tramite pam_ldap lo potevo ottenere legando gli utenti ad un posix group, ma con questo setup come dici tu non sarebbe ldap a occuparsi delle acl
allora.. ammetto di non aver la risposta.. considera che l'approccio è quello del join/login ad un dominio windows.. quindi [dov|pot]resti cercare risorse in rete su come ottenere tale comportamento..
ritengo che tu debba usare chiavi di ricerca in inglese oppure potresti scrivere sul ng it.comp.os.linux.sys