merenda

Geschrieben 21. September 2005 · 21. September 2005

Nee, ein Limit kenne ich dabei nicht. Bei mir zählt er sauber immer bei jedem neuen User um eins hoch. Dein Startwert war doch auch 1000? Ist diese UID evtl. schon vergeben?

Die 1000 ist schon vergeben ja, die hat ja der "NextFreeUnixId"

Aber der müstet doch trozdem weiter Zählen ... Und wo holt er sich jetzt die 1000 her ?

Die 10000 in der Konfig ist nur bei search interessant. Die wird dann als minimum genommen. Damit wird erreicht, dass keine automatisch vergebene UID kleiner 10000 sein kann.

Ok ... ich dachte er würde sich die UIDs dort holen. Wo holt er sie dann ?

Geht er dann vom uidNumber des NextFreeUnixId Users oder wie ?

Geschrieben 21. September 2005 · 21. September 2005

Ja ok ... das stimmt auch wieder

Was mir ist gerade aufgefallen ist, der Zählt nur bis 1001 und dann hört er auf ?! Außerdem hab ich in der Konfig nicht 1000 sondern 10 000. Was muss ich da noch einstellen ?

Geschrieben 21. September 2005 · 21. September 2005

Noch eine Frage ... Kann ich das auch mit der GID machen ?

Hab in der Konfig nichts gefunden ...

Gruß und danke noch mals

Merenda

Geschrieben 21. September 2005 · 21. September 2005

Ja klar oh mann das ich das wieder übersehen habe :rolleyes:

OKI Jetzt Funktioniert es :marine DANKE FÜR DIE HILFE ....

21. September 2005

Hallo,

da bin ich wieder, tja so wie das aussieht Findet dieses Jahr kein Java Kurs statt im linux-hotel, hab gerade angerufen. Mist aber auch.

Hat mir jemand ein paar Tipps wo ich einen Java Kurs besuchen könnte ? Ist echt Dringend, sonst verfallen mir noch die Kurstage

Geschrieben 21. September 2005 · 21. September 2005

Setzte mal die Option auto_uid_number_uid_pool_dn richtig, dann sollte es gehen.

Edit: Sorry, auch die Option auto_uid_number_mechanism muss natürlich geändert werden. Hab's gerade nicht zur Hand, auf jeden Fall ist das nicht mehr search. Steht aber in der Doku direkt dahinter.

Hi,

also hier meine Aktuelle Konfiguration:

[...]

$servers[$i]['enable_auto_uid_numbers'] = true;

$servers[$i]['auto_uid_number_mechanism'] = 'uidpool';

$servers[$i]['auto_uid_number_search_base'] = 'ou=Test-Systeme,o=firma,c=de';

$servers[$i]['auto_uid_number_min'] = 10000;

$servers[$i]['auto_uid_number_uid_pool_dn'] = 'cn=NextFreeUnixId,ou=Test-Systeme,o=firma,c=de';

$servers[$i]['auto_uid_number_search_dn'] = '';

[...]

Ich bekomm aber folgenden Fehler:

Fehler

Es scheint so, dass der "uidPool" - der in der Konfiguration festgelegt ist -

nicht vorhanden ist.

Aber der ist doch drin, oder:

slapcat

[...]

dn: cn=NextFreeUnixId,o=firma,c=de

cn: NextFreeUnixId

gidNumber: 1000

objectClass: inetOrgPerson

objectClass: sambaUnixIdPool

sn: NextFreeUnixId

uidNumber: 1000

structuralObjectClass: inetOrgPerson

entryUUID: 865bf5a2-beca-1029-81c2-f315531d6780

creatorsName: cn=admin,o=firma,c=de

createTimestamp: 20050921090456Z

entryCSN: 2005092109:04:56Z#0x0001#0#0000

modifiersName: cn=admin,o=firma,c=de

modifyTimestamp: 20050921090456Z

Was mache ich da falsch ?

Geschrieben 21. September 2005 · 21. September 2005

Ok, also ich hab das schmema inkludiert (wie sich das anhört:D).

Du hast recht, ich werde das erstmal über alle abteilungen machen, das ist auch nicht schlecht, wenn die UIDs dann automatisch vergeben werden muss ich mir ja keine gedanken mehr darüber machen.

Ich hab das jetzt mal ausprobiert aber es funkt leider nicht

Was habe ich gemacht:

1. Die config.php des phpLDAPadmin editiert:

$servers[$i]['name'] = 'Another server';

$servers[$i]['host'] = '';

$servers[$i]['base'] = 'dc=example,dc=com';

$servers[$i]['port'] = 389;

$servers[$i]['auth_type'] = 'config';

$servers[$i]['login_dn'] = '';

$servers[$i]['login_pass'] = '';

$servers[$i]['tls'] = false;

$servers[$i]['low_bandwidth'] = false;

$servers[$i]['default_hash'] = 'crypt';

$servers[$i]['login_attr'] = 'dn';

$servers[$i]['login_class'] = '';

$servers[$i]['read_only'] = false;

$servers[$i]['show_create'] = true;

[COLOR=Red]$servers[$i]['enable_auto_uid_numbers'] = true;[/COLOR]

$servers[$i]['auto_uid_number_mechanism'] = 'search';

[COLOR=Red]$servers[$i]['auto_uid_number_search_base'] = 'cn=NextFreeUnixId,o=firma,c=de';[/COLOR]

[COLOR=Red]$servers[$i]['auto_uid_number_min'] = 10000;[/COLOR]

$servers[$i]['auto_uid_number_uid_pool_dn'] = 'cn=uidPool,dc=example,dc=com';

$servers[$i]['unique_attrs_dn'] = '';

$servers[$i]['unique_attrs_dn_pass'] = '';

2. Ich hab den LDAP-Baum um Folgenden Eintrag Eweitert:

dn: cn=NextFreeUnixId,o=firma,c=de

objectClass: inetOrgPerson

objectClass: sambaUnixIdPool

gidNumber: 1000

uidNumber: 1000

cn: NextFreeUnixId

sn: NextFreeUnixId

3. Ich wollte testen ob er das gezogen hat und hab versucht einen neuen User anzulegen.

Aber er hat leider nicht automatisch eine UID bzw. GID genommen ?

Muss ich da noch was an den Access-Regeln machen ?

Hast du mir ein Tipp ?

Gruß

Merenda

Geschrieben 21. September 2005 · 21. September 2005

Da gibt's zwei Möglichkeiten:
- die UIDs ermitteln lassen von phpLdapAdmin. Dazu kann man in der Config angeben wo er suchen soll und nimmt dann einfach die nächste freie.
- im LDAP ein Objekt hinterlegen indem die nächste UID drinsteht.

Funktioniert beides wunderbar, ich bevorzuge i.d.R. die letztere Variante. Dafür nehme ich von Samba die Klasse sambaUnixIdPool. Anbei mal die LDIF von mir.
dn: cn=NextFreeUnixId,ou=Auth,dc=Rock,dc=Local

objectClass: inetOrgPerson

objectClass: sambaUnixIdPool

gidNumber: 1000

cn: NextFreeUnixId

sn: NextFreeUnixId

uidNumber: 1020

Das zweite scheint mir in der Tat besser zu sein, ich hab aber noch ein paar Fragen dazu. Gehe ich recht in der Anahme, dass ich erst das SAMBA-Schema installieren bzw. einfügen muss ?

Kann ich es so einstellen, dass z.B. einen UID-Pool für jede Abteilung bzw. für jedes System habe, zum besseren Verständnis habe ich dir ein Schaubild angehängt. Damit möchte ich bewerkstelligen, dass eine UID, System weit nur einmal vorhaden ist. Ist das so realisierbar ?

Danke schon mal im voraus.

Gruß

Merenda

Geschrieben 20. September 2005 · 20. September 2005

HI @all,

ich hab in der Config von phpLDAPadmin das man die UIDs für die einzelnen User automatisch vergeben kann. Ich hab da jetzt mal etwas rum getestet aber irgendwie funkt das nicht.

Hat schon jemand erfahrungen damit gemacht bzw. weiß jemand wie das Funktioniert ?

Danke schon mal im voraus für die Hilfe.

Gruß

Merenda

16. September 2005

Mach dir bitte die Arbeit und schreibe immer den DN. Konstrukte wie "Gruppe(unter mars)" verursachen einem Kopfschmerzen.

Hi,

sorry ... hab das nur gut gemeint

Ist das so besser ? Ich hab mal mein LDAP Baum Expotiert, dann kannst du mal sehen wie ich das aufgebaut habe:

version: 1


# LDIF Export von: 

# Erstellt von phpLDAPadmin ( http://phpldapadmin.sourceforge.net/ ) am September 16, 2005 1:13 pm

# Server: My LDAP Server (10.206.176.97)

# Suchbereich: sub

# Suchfilter: (objectClass=*)

# Anzahl der Eintraege: 66


# Eintrag 1: o=firma,c=de

dn: o=firma,c=de

objectClass: top

objectClass: organization

o: firma

description: TEST Firma


# Eintrag 2: cn=admin,o=firma,c=de

dn: cn=admin,o=firma,c=de

objectClass: top

objectClass: Person

cn: admin

sn: admin

description: LDAP-Administrator


# Eintrag 3: ou=Test-Systeme,o=firma,c=de

dn: ou=Test-Systeme,o=firma,c=de

ou: Test-Systeme

objectClass: top

objectClass: organizationalUnit


# Eintrag 4: ou=mars,ou=Test-Systeme,o=firma,c=de

dn: ou=mars,ou=Test-Systeme,o=firma,c=de

ou: mars

objectClass: top

objectClass: organizationalUnit


# Eintrag 5: ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: ou=sxA,ou=Test-Systeme,o=firma,c=de

ou: sxA

objectClass: top

objectClass: organizationalUnit


# Eintrag 6: cn=replicationsadmin,o=firma,c=de

dn: cn=replicationsadmin,o=firma,c=de

cn: replicationsadmin

description: LDAP-Administrator

objectClass: top

objectClass: Person

sn: admin


# Eintrag 7: ou=Group,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: ou=Group,ou=mars,ou=Test-Systeme,o=firma,c=de

objectClass: top

objectClass: organizationalUnit

ou: Group


# Eintrag 8: ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

ou: user

objectClass: top

objectClass: organizationalUnit


# Eintrag 9: uid=mars_ldap,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap mars_ldap

gidNumber: 10001

givenName: mars_ldap

homeDirectory: /home/mars_ldap

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap

uid: mars_ldap

uidNumber: 10001

userPassword: {crypt}F8x.JYcTqPCPU


# Eintrag 10: uid=mars_ldap2,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap2,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap2

gidNumber: 10001

givenName: mars_ldap2

homeDirectory: /home/mars_ldap2

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap2

uid: mars_ldap2

uidNumber: 10002

userPassword: test


# Eintrag 11: uid=mars_ldap3,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap3,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap3

gidNumber: 10003

givenName: mars_ldap3

homeDirectory: /home/mars_ldap3

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap3

uid: mars_ldap3

uidNumber: 10003

userPassword: test


# Eintrag 12: uid=mars_ldap4,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap4,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap4

gidNumber: 10004

givenName: mars_ldap4

homeDirectory: /home/mars_ldap4

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap4

uid: mars_ldap4

uidNumber: 10004

userPassword: test


# Eintrag 13: uid=mars_ldap5,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap5,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap5

gidNumber: 10006

givenName: mars_ldap5

homeDirectory: /home/mars_ldap5

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap5

uid: mars_ldap5

uidNumber: 10006

userPassword: TEST


# Eintrag 14: ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

ou: user

objectClass: top

objectClass: organizationalUnit


# Eintrag 15: uid=sxa_ldap2,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap2,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

cn: sxa_ldap2

gidNumber: 10004

givenName: sxa_ldap2

homeDirectory: /home/sxa_ldap2

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: sxa_ldap2

uid: sxa_ldap2

uidNumber: 10004

userPassword: test


# Eintrag 16: uid=sxa_ldap3,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap3,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

cn: sxa_ldap3

gidNumber: 10006

givenName: sxa_ldap3

homeDirectory: /home/sxa_ldap3

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: sxa_ldap3

uid: sxa_ldap3

uidNumber: 10006

userPassword: test


# Eintrag 17: uid=sxa_ldap1,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap1,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

uid: sxa_ldap1

givenName: sxa_ldap1

sn: sxa_ldap1

cn: sxa_ldap1

userPassword: test

loginShell: /bin/bash

uidNumber: 10006

gidNumber: 10007

homeDirectory: /home/sxa_ldap1

shadowMin: -1

shadowMax: 999999

shadowWarning: 7

shadowInactive: -1

shadowExpire: -1

shadowFlag: 0

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson


# Eintrag 18: uid=sxa_ldap4,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap4,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

uid: sxa_ldap4

givenName: sxa_ldap4

sn: sxa_ldap4

cn: sxa_ldap4

userPassword: TEST

loginShell: /bin/bash

uidNumber: 10009

gidNumber: 10009

homeDirectory: /home/sxa_ldap4

shadowMin: -1

shadowMax: 999999

shadowWarning: 7

shadowInactive: -1

shadowExpire: -1

shadowFlag: 0

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson


# Eintrag 19: ou=group,o=firma,c=de

dn: ou=group,o=firma,c=de

ou: group

objectClass: top

objectClass: organizationalUnit


# Eintrag 20: cn=root,ou=group,o=firma,c=de

dn: cn=root,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: root

userPassword: {crypt}x

gidNumber: 0


# Eintrag 21: cn=bin,ou=group,o=firma,c=de

dn: cn=bin,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: bin

userPassword: {crypt}x

gidNumber: 1

memberUid: daemon


# Eintrag 22: cn=daemon,ou=group,o=firma,c=de

dn: cn=daemon,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: daemon

userPassword: {crypt}x

gidNumber: 2


# Eintrag 23: cn=sys,ou=group,o=firma,c=de

dn: cn=sys,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: sys

userPassword: {crypt}x

gidNumber: 3


# Eintrag 24: cn=tty,ou=group,o=firma,c=de

dn: cn=tty,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: tty

userPassword: {crypt}x

gidNumber: 5


# Eintrag 25: cn=disk,ou=group,o=firma,c=de

dn: cn=disk,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: disk

userPassword: {crypt}x

gidNumber: 6


# Eintrag 26: cn=lp,ou=group,o=firma,c=de

dn: cn=lp,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: lp

userPassword: {crypt}x

gidNumber: 7


# Eintrag 27: cn=www,ou=group,o=firma,c=de

dn: cn=www,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: www

userPassword: {crypt}x

gidNumber: 8


# Eintrag 28: cn=kmem,ou=group,o=firma,c=de

dn: cn=kmem,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: kmem

userPassword: {crypt}x

gidNumber: 9


# Eintrag 29: cn=wheel,ou=group,o=firma,c=de

dn: cn=wheel,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: wheel

userPassword: {crypt}x

gidNumber: 10


# Eintrag 30: cn=mail,ou=group,o=firma,c=de

dn: cn=mail,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: mail

userPassword: {crypt}x

gidNumber: 12


# Eintrag 31: cn=news,ou=group,o=firma,c=de

dn: cn=news,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: news

userPassword: {crypt}x

gidNumber: 13


# Eintrag 32: cn=uucp,ou=group,o=firma,c=de

dn: cn=uucp,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: uucp

userPassword: {crypt}x

gidNumber: 14

memberUid: kelsaess


# Eintrag 33: cn=shadow,ou=group,o=firma,c=de

dn: cn=shadow,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: shadow

userPassword: {crypt}x

gidNumber: 15


# Eintrag 34: cn=dialout,ou=group,o=firma,c=de

dn: cn=dialout,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: dialout

userPassword: {crypt}x

gidNumber: 16

memberUid: kelsaess

Einige Gruppen habe ich weg gelassen sonst wäre das zu viel geworden.

Danke und Gruss

Merenda

16. September 2005

Hi,

hab ein neues schaubild erstellt, hast du das so gemeint oder ... ?

Hier mal die Erklärung dazu:

c=de ==> Lokation

o=firma ==> Organisation

cn=admin ==> das ist der Administrator der über alles herscht

(So und nun geht es jetzt los):

ou=group ==> Das sind die Gruppen, die Standartmäsig beim SUSE Linux

schon dabei sind. Wie z.B. audio, mail, sys u.s.w.

Dieste Gruppen Stelle ich über alle Systeme, da Sie

überall dabei sein müssen (bzw. sollen).

ou=mars ==> Erste Testmaschiene die ich im einsatz habe.

ou=group (unter mars) ==> Hier Trage ich dann die Gruppen ein die

"NUR" für den Rechner "mars" bestimmt sind.

ou=user (unter mars) ==> Hier Kommen die User rein, die "NUR" für den

Rechner "mars" bestimmt sind.

Und das gleiche mache ich dann für die anderen Systemen wie sxA z.B. und wenn noch weitere folgen für die dann auch.

Nach dem ich das eingerichtet habe, hab ich die Accessregeln festgelegt.

Ich bin dann auf der dem LDAP-Client hab in der /etc/nsswitch.con folgenden eintrag geändert:

group:  ldap

und wollt schauen ob er dann mit "getent group" mir die gruppen anzeigt, das macht er aber nicht Er sollte mir jetzt doch die Gruppen anzeigen ? Die Accessregeln habe ich auch schon angepasst:

### Gruppenrechte für ALLE Maschinen ###


access to dn.subtree="ou=group,o=firma,c=de"

  by dn.base="cn=admin,o=firma,c=de" write

  by * read

Hat jemand eine Ahnung was ich falsch gemacht haben könnte ?

DAnke schon mal im voraus.

Gruß

Merenda

15. September 2005

Hi,

also würdest du auch Schaubild 2 Anwenden ?

Merenda

15. September 2005

HI @all,

hab mal wieder eine Frage zu LDAP. Die Zentrale userverwaltung über LDAP ist jetzt kein Problem mehr.

Ich würde jetzt auch auch die Gruppen zentral über den LDAP verwalten. Nun weiß ich noch nicht bzw. hab ich

noch nicht begrieffen wo ich die Gruppen hinstellen soll.

Ich hab mal zwei Schaubilder gezeichnet, so wie ich mir vorstelle das es richtig sein könnte.

Zum Schaubidl 1 (GRUPPE1):

Hier sind die Gruppen über alle Systeme.

Aber hier stellt sich auch die Frage, es sind ja nicht auf jedem System die gleichen Gruppen ?

Das würde beudeten, dass die Gruppen auf allen Systemen gleich sind. Das würde die Verwaltung vereinfachen

oder ? Verbessert mich bitte, wenn ich falsch liege.

Zum Schaubidl 2 (GRUPPE2):

Hier hat jedes System seine eigene gruppen. Dieser Ansatz scheint mir richtig zu sein. Jedes System, hat seine

eigenen Gruppen.

Wie hab ihr das Problem gelöst ? Danke schon mal im voraus.

Gruss

Merenda

15. September 2005

Hi, hat vieleicht schon jemand irgendwelche erfahrungen mit dem neuen Samsung W800i gemacht? Habs eventuell vor mir zu kaufen.

Gruß ILG

Häm du meinst Sony Ericsson W800i oder ?

Gruß

Merenda

9. September 2005

Hallo,

ich hab das hinbekommen und zwar hätte ich das nicht mit dem Kommand ldapadd machen sollen sonsern mit dem slapadd.

Jetzt funktioniert es auch mit dem replizieren.

Was mir noch aufgedallen ist, wenn jetzt der LDAP-Slave Down ist, kann er ja keine informationen mehr empfanfen. Wenn ich ihn dann hochfahre, muss ich den slurpd-Deamon stopen und staren, damit die Änderungem an den LDAP-SLAVE weiter gegeben werden. Gibt es da eine andere Möglichkeit die daten an den SLAVE weiter zu reichen, z.B.: Automatisch ?

Und wie kann ich es bewerkstelligen, dass wenn der LDAP-Master augeschaltet wird, dass die LDAP-Clients auf dem SLAVE suchen und nicht weiter auf dem MASTER ? Muss ich das auf dem Clients einrichten oder an den LDAP-Servers ?

Danke schon mal für die Hilfe

Gruß

Merenda

9. September 2005

Hi,

ich hab das mit dem slurpd-Deamon jetzt hinbekommen, da haben sie ein paar Fehler eingeschliechen, die ich übersehen hatte.

Ich hab mir jetzt einen SLES8 server besorgt und dort versucht den SLAVE aufzusetzen. Also jetzt habe ich folgenden Stand:

SLES8 - LDAP - Master Läuft mit folgender Konfiguration:

include         /etc/openldap/schema/core.schema

include         /etc/openldap/schema/cosine.schema

include         /etc/openldap/schema/nis.schema

include         /etc/openldap/schema/inetorgperson.schema

include         /etc/openldap/schema/misc.schema

#include         /etc/openldap/schema/krb5-kdc.schema




# Define global ACLs to disable default read access.



pidfile		/var/run/slapd/slapd.pid

argsfile	/var/run/slapd/slapd.args



loglevel 1024 


sizelimit 500 

timelimit 3600


#~~~~~~~~~~~~~~~#

# Access Regeln #

#~~~~~~~~~~~~~~~#


access to attrs=userPassword 

   by dn.base="cn=admin,o=firma,c=de" write 

   by self write 

   by anonymous auth 

   by * none


#### TEST - Maschinen ####


### Intel-TestMaschine

access to dn.subtree="ou=mars,ou=Test-Systeme,o=firma,c=de"

   by dn.base="cn=admin,o=firma,c=de" write

   by peername="53.139.198.186"  read

   by * none


### sxA

access to dn.subtree="ou=sxA,ou=Test-Systeme,o=firma,c=de"

   by dn.base="cn=admin,o=firma,c=de" write

   by peername="10.206.176.212"  read

   by peername="10.206.176.148"  read

   by peername="10.206.176.74"   read

   by * none



#######################################################################

# ldbm database definitions

#######################################################################


database        bdb 

checkpoint      1024    5 

cachesize       10000


suffix          "o=firma,c=de"

rootdn          "cn=admin,o=firma,c=de"

rootpw          test 


directory       /var/lib/ldap



#index   	default         	pres,eq

index   	objectClass     	eq


index           cn                      pres,sub,eq

index           sn                      pres,sub,eq

index           uid                     pres,sub,eq

index           displayName             pres,sub,eq


index           uidNumber               eq

index           gidNumber               eq

index           memberUid               eq



#~~~~~~~~~~~~~#

# Replikation #

#~~~~~~~~~~~~~#

replogfile /var/lib/openldap/slurp/slapd.replog

replica host=10.206.176.148:389 

        binddn="cn=replicationsadmin,o=firma,c=de"

        bindmethod=simple

        credentials=test

SLES8 - LDAP - SLAVE Läuft mit folgender Konfiguration:

include         /etc/openldap/schema/core.schema

include         /etc/openldap/schema/cosine.schema

include         /etc/openldap/schema/nis.schema

include         /etc/openldap/schema/inetorgperson.schema

include         /etc/openldap/schema/misc.schema

#include         /etc/openldap/schema/krb5-kdc.schema




# Define global ACLs to disable default read access.



pidfile         /var/run/slapd/slapd.pid

argsfile        /var/run/slapd/slapd.args



loglevel 1024


sizelimit 500

timelimit 3600


#~~~~~~~~~~~~~~~#

# Access Regeln #

#~~~~~~~~~~~~~~~#


access to attrs=userPassword

   by dn.base="cn=admin,o=firma,c=de" write

   by self write

   by anonymous auth

   by * none


#### TEST - Maschinen ####


### Intel-TestMaschine

access to dn.subtree="ou=mars,ou=Test-Systeme,o=firma,c=de"

   by dn.base="cn=admin,o=firma,c=de" write

   by peername="53.139.198.186"  read

   by * none


### sxA

access to dn.subtree="ou=sxA,ou=Test-Systeme,o=firma,c=de"

   by dn.base="cn=admin,o=firma,c=de" write

   by peername="10.206.176.212"  read

   by peername="10.206.176.148"  read

   by peername="10.206.176.74"   read

   by * none



#######################################################################

# ldbm database definitions

#######################################################################


database        bdb

checkpoint      1024    5

cachesize       10000


suffix          "o=firma,c=de"

rootdn          "cn=admin,o=firma,c=de"

rootpw          test


directory       /var/lib/ldap



#index          default                 pres,eq

index           objectClass             eq


index           cn                      pres,sub,eq

index           sn                      pres,sub,eq

index           uid                     pres,sub,eq

index           displayName             pres,sub,eq


index           uidNumber               eq

index           gidNumber               eq

index           memberUid               eq



#~~~~~~~~~~~~~#

# Replikation #

#~~~~~~~~~~~~~#

updatedn   "cn=replicationsadmin,o=firma,c=de"

updateref  10.206.176.97:389

Ich bin jetzt folgendermasen ran gegangen: 1. Konfigurations des Masters auf dem SLAVE Kopiert 2. Einstellungen fürs Repliziren in den 2 Konfigs eingestellt 3. Dann habe ich mit slapcat eine LDIF - Datei erstellt 4. Die LDIF - Datei habe ich auf dem SLAVE Server kopiert und versucht mit ldapadd einzulesen, doch leider funktioniert das troz SLES8 nicht hat jemand eine IDEE:

g8sxa:~ # ldapadd -x -D "cn=admin,o=firma,c=de" -W -f useradd.ldif

Enter LDAP Password:

adding new entry "o=firma,c=de"

ldapadd: update failed: o=firma,c=de

ldap_add: Constraint violation (19)

        additional info: structuralObjectClass: no user modification allowed

Danke und Gruß

Merenda

8. September 2005

Hi,

danke erst mal für dein Post

sorry das mit dem Schemas war mein Fehler, die sind auf beiden Seiten auskommentiert.

Auf dem Master läuft jetzt auch der slurpd-Deamon, aber wenn ich ihn starte bekomme ich folgende Meldung:

g8sxz001:~ # rcslurpd start

Starting slurpdError: Malformed "replica" line in slapd config file, line 82

Warning: failed to add replica "10.206.176.172:389 - ignoring replica   done

Aber der slurpd-Deamon ist gestartet.

Aber ich kann trozdem mit ldapadd die keine Daten einlesen

Merenda

8. September 2005

Hi @all,

mein LDAP Läuft, meine Benutzerauthentifizierung scheint auch so zu laufen wie es laufen soll.

Jetzt möchte ich bevor wir produktiv gehen meinen LDAP absichern, in dem ich noch einen LDAP-Slave aufbaue, der die Aufgaben des Masters übernimmt falls er mal ausfallen sollte. Ich hab schon damit angefangen, nur will das noch nicht so funktionieren wie es soll. Wie bin ich vorgegangen:

1. Ich hab die slapd.conf des LDAP - Master auf dem LDAP - Slave server kopiert

2. Dann habe ich die slapd.conf vom Master erweitert:

#~~~~~~~~~~~~~#

# Replikation #

#~~~~~~~~~~~~~#

replogfile /var/lib/openldap/slurp/slapd.replog

replica host=10.206.176.172:389

        binddn="cn=replicationsadmin,o=firma,c=de"

        bindmethod=simple

        credentials=test

3. Die Konfigurationsdatei vom LDAP-SLAVE hab ich auch erweitert:

#~~~~~~~~~~~~~#

# Replikation #

#~~~~~~~~~~~~~#


updatedn=cn"cn=replicationsadmin,o=firma,c=de"

updateref=10.206.176.97:389

4. Mit ldapadd habe ich Auf dem LDAP-MAster einen replicationsadmin angelegt:

dn: cn=replicationsadmin,o=firma,c=de

cn: replicationsadmin

description: LDAP-Administrator

objectClass: top

objectClass: Person

sn: admin

structuralObjectClass: Person

entryUUID: 353e68dc-b31a-1029-9941-c0d5d140754d

creatorsName: cn=admin,o=firma,c=de

createTimestamp: 20050906120506Z

entryCSN: 2005090612:05:06Z#0x0001#0#0000

modifiersName: cn=admin,o=firma,c=de

modifyTimestamp: 20050906120506Z

5. Nach dem ich alles eingestellt habe, hab ich mit slapcat habe ich die LDAP-Master Datenbank ausgelesen und eine LDIF Datei erzeugt, die ich dann auf dem LDAP-Slave mit dem ldapadd Befehl einlesen wollte. Leider bekomme ich da immer Folgende Meldung:

g8sxz002:~# ldapadd -x -D "cn=admin,o=firma,c=de" -W -f ldap-slave.ldif

Enter LDAP Password:

adding new entry "o=firma,c=de"

ldap_add: Constraint violation (19)

        additional info: structuralObjectClass: no user modification allowed

Hat jemand eine Ahnung was ich da falsch mache ? Kann es vielleicht daran liegen, dass der LDAP Master ein SLES8 Server mit LDAP Version 2.14 und der LDAP SLAVE ein SLES9 Server mit LDAP Version 2.2.24 ist ? Hier mal die Configs dann könnt ihr auch mal drauf schauen: LDAP - MASTER

include         /etc/openldap/schema/core.schema

include         /etc/openldap/schema/cosine.schema

include         /etc/openldap/schema/nis.schema

include         /etc/openldap/schema/inetorgperson.schema

include         /etc/openldap/schema/misc.schema

include         /etc/openldap/schema/krb5-kdc.schema




# Define global ACLs to disable default read access.



pidfile		/var/run/slapd/slapd.pid

argsfile	/var/run/slapd/slapd.args



loglevel 128 256 512


sizelimit 500 

timelimit 3600


#~~~~~~~~~~~~~~~#

# Access Regeln #

#~~~~~~~~~~~~~~~#


access to attrs=userPassword 

   by dn.base="cn=admin,o=firma,c=de" write 

   by self write 

   by anonymous auth 

   by * none


#### TEST - Maschinen ####


### Intel-TestMaschine

access to dn.subtree="ou=mars,ou=Test-Systeme,o=firma,c=de"

   by dn.base="cn=admin,o=firma,c=de" write

   by peername="53.139.198.186"  read

   by * none


### sxA

access to dn.subtree="ou=sxA,ou=Test-Systeme,o=firma,c=de"

   by dn.base="cn=admin,o=firma,c=de" write

   by peername="10.206.176.212"  read

   by peername="10.206.176.148"  read

   by peername="10.206.176.74"   read

   by * none



#######################################################################

# ldbm database definitions

#######################################################################


database        bdb 

checkpoint      1024    5 

cachesize       10000


suffix          "o=firma,c=de"

rootdn          "cn=admin,o=firma,c=de"

rootpw          test 


directory       /var/lib/ldap



#index   	default         	pres,eq

index   	objectClass     	eq


index           cn                      pres,sub,eq

index           sn                      pres,sub,eq

index           uid                     pres,sub,eq

index           displayName             pres,sub,eq


index           uidNumber               eq

index           gidNumber               eq

index           memberUid               eq



#~~~~~~~~~~~~~#

# Replikation #

#~~~~~~~~~~~~~#

replogfile /var/lib/openldap/slurp/slapd.replog

replica host=10.206.176.172:389

        binddn="cn=replicationsadmin,o=firma,c=de"

        bindmethod=simple

        credentials=test

LDAP-SLAVE

include         /etc/openldap/schema/core.schema

include         /etc/openldap/schema/cosine.schema

include         /etc/openldap/schema/nis.schema

include         /etc/openldap/schema/inetorgperson.schema

include         /etc/openldap/schema/misc.schema

#include         /etc/openldap/schema/krb5-kdc.schema




# Define global ACLs to disable default read access.



pidfile         /var/run/slapd/slapd.pid

argsfile        /var/run/slapd/slapd.args



loglevel 128 256 512


sizelimit 500

timelimit 3600


#~~~~~~~~~~~~~~~#

# Access Regeln #

#~~~~~~~~~~~~~~~#


access to attrs=userPassword 

   by dn.base="cn=admin,o=firma,c=de" write 

   by self write 

   by anonymous auth 

   by * none


#### TEST - Maschinen ####


### Intel-TestMaschine

access to dn.subtree="ou=mars,ou=Test-Systeme,o=firma,c=de"

   by dn.base="cn=admin,o=firma,c=de" write

   by peername="53.139.198.186"  read

   by * none


### sxA

access to dn.subtree="ou=sxA,ou=Test-Systeme,o=firma,c=de"

   by dn.base="cn=admin,o=firma,c=de" write

   by peername="10.206.176.212"  read

   by peername="10.206.176.148"  read

   by peername="10.206.176.74"   read

   by * none



#######################################################################

# ldbm database definitions

#######################################################################


database        bdb

checkpoint      1024    5

cachesize       10000


suffix          "o=firma,c=de"

rootdn          "cn=admin,o=firma,c=de"

rootpw          test


directory       /var/lib/ldap



#index          default                 pres,eq

index           objectClass             eq


index           cn                      pres,sub,eq

index           sn                      pres,sub,eq

index           uid                     pres,sub,eq

index           displayName             pres,sub,eq


index           uidNumber               eq

index           gidNumber               eq

index           memberUid               eq


#~~~~~~~~~~~~~#

# Replikation #

#~~~~~~~~~~~~~#

updatedn=cn"cn=replicationsadmin,o=firma,c=de"

updateref=10.206.176.97:389

Danke schon mal für eure Hilfe.

Gruß

Merenda

8. September 2005

Hi @all,

ich bin auf der Suche nach einem Guten Virtual Desktop Manager für Windows. ICh hab bisher deskwinbin benuzt, aber da ist mir jetzt zu blöd geworden, dauernt friert sich mein Desktop ein und es bleiben restbestände von anderen fenster hängen, dann muss ich immer wieder den explorer Killen um es zu entfernen.

Jetzt wollt ich mal in die Runde fragen, was es da für alternativen gibt bzw. was ihr so benuzt ?

Danke schon mal im voraus.

Gruß

Merenda

28. Juli 2005

Hi,

also ich hab gestern ou=sxA,ou=Test-Systeme,o=firma,c=de gelöscht und wieder angelt und seit dem funkt das mit dem useradd.

Naja, ich denke, ich werde die User es doch über phpLDAPadmin verwalten.

Das ist echt ein Tolles Tool !

Ich hab die Access - Regeln noch mal überarbeitet

(1)# User können Ihr eigenes Passwort ändern 

access to attrs=userPassword 

    by cn=admin,o=firma,c=de write 

    by self write 

    by anonymous auth 

    by * none 


(2)### Intel-TestMaschine 

access to dn.subtree="ou=mars,ou=Test-Systeme,o=firma,c=de" 

    by cn=admin,o=firma,c=de write 

    by peername="53.139.198.186" read 

    by * none 


(3)### sxA 

access to dn.subtree="ou=sxA,ou=Test-Systeme,o=firma,c=de" 

    by cn=admin,o=firma,c=de write 

    by peername="10.206.176.212" read 

    by peername="10.206.176.148" read 

    by peername="10.206.176.74"  read 

    by * none

(1) Dieser Eintrag bewirkt, dass User auf "ihr eigenes" Atributt userPassword zugreifen dürfen. Ich könnte hier jetzt noch andere Atributte eintragen, je nach dem was die user dürfen und was nicht. Der Admin ist natürlich auch drin.

(2) Hier habe ich die Abteilung mars abgebildet, der Admin darf wieder schreiben, aber die Maschine selber darf nur lesen.

(3) Hier haben wir wieder ein Ähnliches beispiel, nur das es sich hier um die Abteilung sxA handelt.

Was hälst du davon ? So könnte ich doch meine Access-Regeln aufbauen ?

Gruß

Merenda

27. Juli 2005

Hi,

ok dann teste ich das mal so mit der Accessliste.

Was mir aufgefallen ist, wir haben uns darüber unterhalten, dass bei meinen useradd kein User angelegt wird. Das stimmt, der User wird angelegt, blos fu der Falschen Maschine.

mars:~ # useradd -D cn=admin,o=firma,c=de -m --service 'ldap' mars4

Enter LDAP Password:

Base DN for user account `mars4' is [COLOR=Red]"ou=sxA,ou=Test-Systeme,o=firma,[/COLOR]c=de".

useradd: Cannot find group `dialout' in service `ldap', ignored.

useradd: Cannot find group `uucp' in service `ldap', ignored.

useradd: Cannot find group `video' in service `ldap', ignored.

useradd: Cannot find group `audio' in service `ldap', ignored.

Der User wird auf der sxA angelegt und nicht auf Maschine mars wie es gewünsch ist. Muss ich beim useradd noch was mitgeben ?!

Wie ist das jetzt bei SLES 8 da funktioniert das wieder ganz anders ?! Hab schon verschiedene Varianten Versucht, haben aber nicht gefunzt

Weißt du wie man das auf einer SLES8 Maschine macht ?

Was sind das jetzt für Fehlermeldungen ?! Kannst du was damit anfangen ?

Danke und Gruß

Merenda

26. Juli 2005

Hallo,

danke für Eure Links. Funktioniert ganz gut das Killdisk !

Gruß

merenda

26. Juli 2005

Hi @all,

am Freitag bekomme ich einen neuen LAPTop, dafür muss ich meinen alten LAP abgeben, ich hab jetzt schon alles gesichert was ich brauche.

Jetzt habe ich mal spaßesalber einen Recovery Tool drüber laufen lassen und der kann alles mögliche wieder herstellen. Jetzt wollte ich den die Festpaltte Platt machen und ein LL - Format drauf, darf ich aber nicht

Jetzt bin ich auf der Suche nach ein Tool, der mir die Platte so säubert, dass die gelöschten Daten nicht einfach so wieder hergestellt werden können.

Kennt jemand so einem Tool ? Was habe ich da noch für Möglichkeiten ?!

Danke schon mal im voraus.

Gruß

Merenda

25. Juli 2005

Das ist schon klar. Sobald die bei mir aber drin sind geht leider nur noch die Hälfte. Muss mal ein Update von OpenLDAP suchen und mal schauen, was dann passiert.

Villeicht wird durch den Index etwas ausgelassen ?

Was hast du für eine Openldap Version ? Was ich immer noch nicht kapiert habe, wie funkt das mit den LDAP - Acceslist ?!

Wie muss ich das konfiguriren, dass eine gescheite Userauthentifizierung zu stande kommen kann ?

Gruß

Merenda

25. Juli 2005

Bei slapcat taucht der User auf, beim getent nicht? Ist das richtig so? Steht der User auch an der richtigen Stelle im LDAP?

Ja genau, wenn ich slapcat aufrufe wird der User angezeigt und bein einem getent nicht auch nicht bei einem ldapsearch.

Ich hatte auch so ein Problem. Nachdem ich fast alle 'index' Einträge entfernt habe hat's dann auch geklappt. Was bei mir ebenfalls noch einige Besserungen gebracht hat war der Austausch von rfc2307bis.schema durch nis.schema.

Also ich hab die indexe auch auskommentiert hat aber nicht viel gebracht

Ich denke auch nicht das es am index liegt. die Option index steht nur für:

Index: Indiziert die Häufig genuzte Attribute, dadurch wird die Suche im gesamten Verzeichnisbaum reduziert.

Leider klappt das immer noch nicht mit dem useradd Sonst noch vorschläge ?

gruß

Merenda

Anmelden

Profile

Forum

Downloads

Kalender

Blogs

Shop

Beiträge von merenda

Fachinformatiker.de, 2024 by SE Internet Services

Links

Fachinformatiker.de App

Kontakt

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte