форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение		[ Отслеживать ]

"Настройка клиента ldap для аутентификации в AD"		+/–
Сообщение от fate (ok) on 30-Мрт-06, 16:53
Доброго времени суток всем! Сознаюсь сразу - я новичок по форумам, редко их использую. Ситуация обстоит так. Есть AD на базе Windows 2003 Server и есть сервера Linux (Fedora 4) и рабочии станции Linux (Novell Linux Desktop 9). Нужно настроить ldap клиента на машинах с Linux. Аутентификация не проходит, выдается ошибка (см. ниже по тексту):( Настройки на машинах с линуксом: файл ldap.conf host 192.168.0.254 base dc=mydomen,dc=ru ldap_version 3 binddn cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru bindpw secret pam_password crypt конец файла файл nsswitch.conf passwd: files ldap shadow: files ldap group:  files ldap конец файла Пользователь browser точно существует и имеет права администратора. смотрю запись в логе при загрузки системы, там вижу: ... pam_ldap: error trying to bind (Invalid credentials) ... Пытаюсь воспользоваться утилитой ldapsearch: ldapsearch -Hldap://srv.mydomen.ru -b "dc=mydomen,dc=ru" "(uid=*)" -x -W -D "cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru" Enter LDAP Password: ldap_bind: Invalid credentials (49)          additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece Я уже всю голову сломал, глаза затупил в поисках инфы в инете, не пойму где у меня касяк. Объясните мне, что я делаю не так, что я совсем не делаю, а надо делать и что не надо делать. Если нужна какая-нибудь дополнительная информация, спрашивайте, а то я даже не знаю что еще указать.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Настройка клиента ldap для аутентификации в AD"		+/–
Сообщение от vlad (??) on 06-Апр-06, 12:18
>Доброго времени суток всем! > >Сознаюсь сразу - я новичок по форумам, редко их использую. > >Ситуация обстоит так. Есть AD на базе Windows 2003 Server и есть >сервера Linux (Fedora 4) и рабочии станции Linux (Novell Linux Desktop >9). Нужно настроить ldap клиента на машинах с Linux. Аутентификация не >проходит, выдается ошибка (см. ниже по тексту):( > >Настройки на машинах с линуксом: > >файл ldap.conf > >host 192.168.0.254 >base dc=mydomen,dc=ru >ldap_version 3 >binddn cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru >bindpw secret >pam_password crypt >конец файла > > >файл nsswitch.conf > >passwd: files ldap >shadow: files ldap >group:  files ldap >конец файла > >Пользователь browser точно существует и имеет права администратора. > >смотрю запись в логе при загрузки системы, там вижу: >... >pam_ldap: error trying to bind (Invalid credentials) >... > >Пытаюсь воспользоваться утилитой ldapsearch: > >ldapsearch -Hldap://srv.mydomen.ru -b "dc=mydomen,dc=ru" "(uid=*)" -x -W -D "cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru" >Enter LDAP Password: >ldap_bind: Invalid credentials (49) >         additional info: 80090308: >LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece > >Я уже всю голову сломал, глаза затупил в поисках инфы в инете, >не пойму где у меня касяк. Объясните мне, что я делаю >не так, что я совсем не делаю, а надо делать и >что не надо делать. Если нужна какая-нибудь дополнительная информация, спрашивайте, а >то я даже не знаю что еще указать. Похоже нужно -D"browser@MYDOMEN.RU"
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Настройка клиента ldap для аутентификации в AD"		+/–
	Сообщение от fate (??) on 06-Апр-06, 16:49
	>>ldapsearch -Hldap://srv.mydomen.ru -b "dc=mydomen,dc=ru" "(uid=*)" -x -W -D "cn=browser,ou=ManDep,ou=Users,dc=mydomen,dc=ru" >>Enter LDAP Password: >>ldap_bind: Invalid credentials (49) >>         additional info: 80090308: >>LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece >> >>Я уже всю голову сломал, глаза затупил в поисках инфы в инете, >>не пойму где у меня касяк. Объясните мне, что я делаю >>не так, что я совсем не делаю, а надо делать и >>что не надо делать. Если нужна какая-нибудь дополнительная информация, спрашивайте, а >>то я даже не знаю что еще указать. > >Похоже нужно -D"browser@MYDOMEN.RU" Хай! Попробовал, утилита ldapsearch заработала! СПС!!! буду разбираться дальше:) А есть ли где-нибудь ваще по этой теме документация - "Включение Linux в  домен AD"? Где можно про это почитать? И еще, я так понимаю, что в конфигурационниках надо заменить также binddn?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Настройка клиента ldap для аутентификации в AD"		+/–
	Сообщение от vlad (??) on 07-Апр-06, 06:22
	>Хай! > >Попробовал, утилита ldapsearch заработала! СПС!!! > >буду разбираться дальше:) > >А есть ли где-нибудь ваще по этой теме документация - "Включение Linux >в  домен AD"? Где можно про это почитать? > >И еще, я так понимаю, что в конфигурационниках надо заменить также binddn? > Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а не Windows LDAP. ИМХО так не выйдет, надо через winbind. У меня именно так и сделано. А почитать нужно доку именно по SAMBA.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Настройка клиента ldap для аутентификации в AD"		+/–
	Сообщение от fate (??) on 07-Апр-06, 09:25
	>>Хай! >> >>Попробовал, утилита ldapsearch заработала! СПС!!! >> >>буду разбираться дальше:) >> >>А есть ли где-нибудь ваще по этой теме документация - "Включение Linux >>в  домен AD"? Где можно про это почитать? >> >>И еще, я так понимаю, что в конфигурационниках надо заменить также binddn? >> > >Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при >этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а >не Windows LDAP. >ИМХО так не выйдет, надо через winbind. У меня именно так и >сделано. А почитать нужно доку именно по SAMBA. Да, именно это сделать и надо. Я подозревал, что не все в порядке с pam_ldap:). А глобальная задача стоит такая - перевести полностью сеть на платформу Linux. Ну и естественно хотелось использовать pam_ldap, чтобы потом перейти на openldap вместо win ldap. Ладно, спасибо за информацию, буду читать, думать и пробовать:)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Настройка клиента ldap для аутентификации в AD"		+/–
	Сообщение от Shadow (??) on 26-Июн-06, 13:33
	>Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя >этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а >не Windows LDAP. >ИМХО так не выйдет, надо через winbind. У меня именно так и >сделано. А почитать нужно доку именно по SAMBA. Ээээ...означает ли это что попытка использования ЛЮБОГО ldap сервера отличного от openLDAP приведет к неудаче ?! На сайте PADL утверждается "...authenticate against LDAP directories". Возможно ldap от MS не соответствует RFC, но есть же другие. Например ldap от Lotus Domin...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Настройка клиента ldap для аутентификации в AD"		+/–
	Сообщение от perece on 29-Июн-06, 14:34
	>>Хай! >> >>Попробовал, утилита ldapsearch заработала! СПС!!! >> >>буду разбираться дальше:) >> >>А есть ли где-нибудь ваще по этой теме документация - "Включение Linux >>в  домен AD"? Где можно про это почитать? >> >>И еще, я так понимаю, что в конфигурационниках надо заменить также binddn? >> > >Если я правильно понял нужно сделать аутентификацию Lin-пользователей в AD, используя при >этом pam_ldap? Проблема в том, что pam_ldap заточен под openldap, а >не Windows LDAP. >ИМХО так не выйдет, надо через winbind. У меня именно так и >сделано. А почитать нужно доку именно по SAMBA. [another quote] >>Похоже нужно -D"browser@MYDOMEN.RU" >Попробовал, утилита ldapsearch заработала! [] если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber) что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее надежно и безопасно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Настройка клиента ldap для аутентификации в AD"		+/–
	Сообщение от fate (ok) on 29-Июн-06, 14:52
	>[another quote] >>>Похоже нужно -D"browser@MYDOMEN.RU" >>Попробовал, утилита ldapsearch заработала! >[] >если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber) >что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a >winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее >надежно и безопасно. Что-то я не совсем понял пост?! "Лажа" - это про что?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Настройка клиента ldap для аутентификации в AD"		+/–
	Сообщение от perece on 29-Июн-06, 18:32
	>>[another quote] >>>>Похоже нужно -D"browser@MYDOMEN.RU" >>>Попробовал, утилита ldapsearch заработала! >>[] >>если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber) >>что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a >>winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее >>надежно и безопасно. > >Что-то я не совсем понял пост?! "Лажа" - это про что? там было сказано "ИМХО так не выйдет". Если ldapsearch -D"browser@MYDOMEN.RU" вышло,  то и через pam-ldap выйдет однозначно. они используют одни и те же клиентские библиотеки.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Настройка клиента ldap для аутентификации в AD"		+/–
	Сообщение от fate (??) on 29-Июн-06, 22:59
	>>>[another quote] >>>>>Похоже нужно -D"browser@MYDOMEN.RU" >>>>Попробовал, утилита ldapsearch заработала! >>>[] >>>если так, то лажа. pam_ldap использует те же самые клиентские библиотеки (libldap/liblber) >>>что и вышеупомянутая утилита ldapsearch. а значит можно настроить напряую. a >>>winbindd работает через микс-моду по NT/LM хэшам паролей, что значительно менее >>>надежно и безопасно. >> >>Что-то я не совсем понял пост?! "Лажа" - это про что? >там было сказано "ИМХО так не выйдет". Если ldapsearch -D"browser@MYDOMEN.RU" вышло,   >то и через pam-ldap выйдет однозначно. они используют одни и те >же клиентские библиотеки. Вот как! Ну это меня радует, а то после того, как мне сказали, что надо юзать самбу, я не стал дальше копаться, т.к. это не было уж столь необходимо. Думаю, что на досуге надо все-таки посмотреть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Настройка клиента ldap для аутентификации в AD"		+/–
	Сообщение от Евгений (??) on 17-Дек-09, 14:47
	http://www.petri.co.il/anonymous_ldap_operations_in_windows_...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема