merenda

Hi,

ja es Hat gefunzt Cool ... DANKE !

Zwecks dem Thema "Homeverzeichnis Automatisch anlegen, wenn ein neuer User angelegt wird" habe ich mal weiter gesucht und ich bin auf folgendes gestoßen:

session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0022

das muss man anscheinend in ein Pam-Modul eintragen, aber ich hab das in verschiedene Pam-Module eingetragen und es hat nicht gefunzt :confused: Sag das jemand irgend was ?!

Im Anhang habe ich eine Kleine LDAP-Struktur aufgebaut wie ich das gerne realiesieren würde, was meint ihr könnte ich das einfach so lassen oder soll ich da noch was ändern ?!?

Gruß

Merenda

Ach ja, die phpldapversion die ich benutze ist die 0.9.6 - eigentlich die Gleiche wie bei Dir...

Ok ... natürlich ... die OUs ! Jetzt bimmelt es Also ich hab schon eine Kleine Unterteilung Gemacht ou=users und ou=Partner (siehe Anhang).

Aber wo muss ich das eintragen ? in gehe mal stark davon aus in der /etc/ldap.conf, oder ?

Ich poste mal meine ldap.conf, wo muss ich das jetzt genau eintragen bzw. wie muss man das eintragen?!

# Your LDAP server. Must be resolvable without using LDAP.

host    10.206.155.144


# The distinguished name of the search base.

base    o=avci,c=de


# The LDAP version to use (defaults to 3

# if supported by client library)

ldap_version    3


# The port.

# Optional: default is 389.

port    389


# Hash password locally; required for University of

# Michigan LDAP server, and works with Netscape

# Directory Server if you're using the UNIX-Crypt

# hash mechanism and not using the NT Synchronization

# service.

pam_password    crypt


# OpenLDAP SSL mechanism

# start_tls mechanism uses the normal LDAP port, LDAPS typically 636

ssl     no

TLS_REQCERT     allow

nss_map_attribute       uniqueMember member

pam_filter      objectclass=posixAccount

nss_base_passwd o=avci,c=de

nss_base_shadow o=avci,c=de

nss_base_group  o=avci,c=de

#ssl on

Gruß

merenda

Hallo Schlaubi, wie ich schon vorhin gepostet habe, es funktioniert. Aber danke für dein Post.

Leider weiß ich immer noch nicht wie ich das mit den Abschirmen der einzelen Abteilungen vornehme

Gruß

Merenda

Hallo,

danke für dein Post.

Also ich hab es gerade mit deinen Einstellugen Probiert und es hatte damit auch nicht funktioniert, immer noch gleiche Fehlermeldung.

Ich wollte gerade die Datei schliesen und da fiel mir folgender Eintrag auf:

/**

 * phpLDAPadmin can encrypt the content of sensitive cookies if you set this

 * to a big random string.

 */

$blowfish_secret = '';

Ich hab da einfach mal irgendwas eingetragen und siehe da, es hat funktioniert. Was für eine Version hast du ? Ich hab die Version phpLDAPadmin - 0.9.6.

Was mir gerade noch aufgefallen ist, wenn ich jetzt weitere Clients konfiguriere, sprich, wenn ich sie an dem LDAP - Server anbinde, dann sind ja da immer die gleichen User wie auf den anderen Clients.

Wie kann ich das Abschirmen, so das sich auf einem Client A nur User der Abteilung A, auf einem Client B nur User der Abteilung B u.s.w. authentifizieren können ?

Ok ... ich denke ich werde das mal alles auprobieren. ICh danke euch aufjedefall für die hilfe. Die Authentifizirung funkt jetzt.

Da hätte ich noch ein anders Prob. Ich wollt jetzt mal den phpLDAPadmin testen. Leider habe ich da ein kleines Konfigurationsproblem mit dem phpLDAPadmin. Nach dem ich alles eingerichtet habe, kommt folgende Fehlermeldung, wenn ich mich versuche auf dem Server anzumelden:

Fehler phpLDAPadmin cannot safely encrypt & decrypt your 

sensitive information, because $blowfish_secret is not set in config.php. 

You need to edit config.php and set $blowfish_secret to some secret string now.

$i=0;

$servers = array();

$servers[$i]['name'] = 'TEST LDAP Server';

$servers[$i]['host'] = '10.206.59.87';

$servers[$i]['base'] = 'o=avci,c=de';

$servers[$i]['port'] = 389;

$servers[$i]['auth_type'] = 'cookie';

$servers[$i]['login_dn'] = 'cn=admin,o=avci,c=de';

$servers[$i]['login_pass'] = 'test';

$servers[$i]['tls'] = false;

$servers[$i]['low_bandwidth'] = false;

$servers[$i]['default_hash'] = 'md5';

$servers[$i]['login_attr'] = 'dn';

$servers[$i]['login_string'] = 'cn=admin,o=avci,c=de';

$servers[$i]['login_class'] = '';

$servers[$i]['read_only'] = false;

$servers[$i]['show_create'] = true;

$servers[$i]['enable_auto_uid_numbers'] = false;

$servers[$i]['auto_uid_number_mechanism'] = 'search';

$servers[$i]['auto_uid_number_search_base'] = 'ou=People,dc=example,dc=com';

$servers[$i]['auto_uid_number_min'] = 1000;

$servers[$i]['auto_uid_number_uid_pool_dn'] = 'cn=uidPool,dc=example,

$servers[$i]['auto_uid_number_search_dn'] = '';dc=com';

$servers[$i]['auto_uid_number_search_dn_pass'] = '';

$servers[$i]['disable_anon_bind'] = false;

$servers[$i]['custom_pages_prefix'] = 'custom_';

$servers[$i]['unique_attrs_dn'] = '';

$servers[$i]['unique_attrs_dn_pass'] = '';


// If you want to configure additional LDAP servers, do so below.

$i++;

$servers[$i]['name'] = 'Another server';

$servers[$i]['host'] = '';

$servers[$i]['base'] = 'dc=example,dc=com';

$servers[$i]['port'] = 389;

$servers[$i]['auth_type'] = 'config';

$servers[$i]['login_dn'] = '';

$servers[$i]['login_pass'] = '';

$servers[$i]['tls'] = false;

$servers[$i]['low_bandwidth'] = false;

$servers[$i]['default_hash'] = 'crypt';

$servers[$i]['login_attr'] = 'dn';

$servers[$i]['login_class'] = '';

$servers[$i]['read_only'] = false;

$servers[$i]['show_create'] = true;

$servers[$i]['enable_auto_uid_numbers'] = false;

$servers[$i]['auto_uid_number_mechanism'] = 'search';

$servers[$i]['auto_uid_number_search_base'] = 'ou=People,dc=example,dc=com';

$servers[$i]['auto_uid_number_min'] = 1000;

$servers[$i]['auto_uid_number_uid_pool_dn'] = 'cn=uidPool,dc=example,dc=com';

$servers[$i]['unique_attrs_dn'] = '';

$servers[$i]['unique_attrs_dn_pass'] = '';

Ich hätt Sie schon gern auf den Localen maschienen weil das ja verschiedene Abeteilungen sind.

Kann man das dann Automatisieren ?!

hey cool! THX!

das hat mich schon die ganze zeit genervt das ich nie benachrichtigt wurde wenn ne mail in nem andern ordner gelandet ist.

Ja so ging es mir die ganze Zeit und des halb habe ich einfach mal rum gesucht .... Aber das hat echt eine weile gedauert

Gruß

Merenda

Also, nach langem suchen bin ich heute Fündig geworden

http://www.wintotal.de/Tipps/Eintrag.php?RBID=1&TID=852&URBID=1

Hier seht es drin wie man das einstellt.

Gruß

Merenda

Das ist ja Praktisch ...

Dann warte ich noch bis ich vom Urlaub zurück komme

Hi, danke es funkt jetzt DANKE !!!!

Es lag am TLS. HURRA ....

Jetzt hab ich noch ein paar andere Fragen zum Thema LDAP - Authentifizierung:

- Stand Heute Authentifizieren sich die User Local an den einzelnen Maschinen via SSH (Private- / Public-Key

Verfahren). Kann man das im LDAP so einstellen, dass die User sich weiterhin mit den Private- / Public-Key

Verfahren einloggen können ? So das sie von der Umstellung nichts mitbekommen ?

- Für was ist TLS gut ? Braucht man das ?

- Wie ist das mit dem Home-Verzeichnisse. Gibt es eine Möglichkeit diese automatisch auf den Lokalen Maschinen

anzulegen, wenn ein neuer User auf dem LDAP-Server angelegt wird ? Oder muss man die Home-Verzeichnisse jedes

Mal händisch auf der Lokalen Maschinen Anlegen ?

Ja schon ... aber dann verstehe ich nicht, warum congster das nicht auf der HP schon bekannt gibt ?! Ist mir klar das sie noch ein paar leute werben wollen, aber jetzt ist es schon in der Presse ?!

Aber woher weiß Capital schon davon ?

hmm was steht den in /etc/pam.d/sshd ?

sind die ganzen pam Dateien auf ldap auth umgestellt?

Auf dem Server A oder auf dem Client B ? Ich poste mal alles:

LDAP-SERVER A

#%PAM-1.0

auth required   pam_unix2.so # set_secrpc

auth required   pam_nologin.so

auth required   pam_env.so

account required        pam_unix2.so

account required        pam_nologin.so

password required       pam_pwcheck.so

password required       pam_unix2.so    use_first_pass use_authtok

session required        pam_unix2.so    none     # trace or debug

session required        pam_limits.so

#%PAM-1.0

auth required   pam_unix2.so # set_secrpc

auth required   pam_nologin.so

auth required   pam_env.so

account required        pam_unix2.so

account required        pam_nologin.so

password required       pam_pwcheck.so

password required       pam_unix2.so    use_first_pass use_authtok

session required        pam_unix2.so    none     # trace or debug

session required        pam_limits.so

Die 10€ Flat ist jetzt unbefristet. Laut einigen Zeitschriften (z.B. Capital) will Congster die Flat auf 7€ senken und bis 6 Mbit erlauben. Von Congster selber gibt es allerdings noch nichts offizielles.

Das wär ja natürlich toll, dann kann ich ja noch warten ....

Ich mein auf der Congster seite seht auch nicht das die 10 Euro Flat irgendwann ausläuft.

Hi, auch dir danke für dein Post.

Also ich hab das mal ausgetestet. Mit

getent passwd

getent shadow

In beiden Fällen, wurde ist der User nicht aufgetaucht.

Den User hab ich mit ldapadd angelet mittels dem LDIF - Format (siehe oben).

Ich hab nur den LDAP-Client mit Yast konfiguriert.

Also habe ich das jetzt richtig verstaden ?

Der User: ldapuser2 muss "nur" auf dem LDAP-Server A vorhanden sein ? Und nicht auf dem LDAP-Client B ?

Gruß

Merenda

Ja das habe ich auch überlegt. Aber ich denke ich werde es einfach durchziehen. Dann muss ich halt ein monat beide bezahlen.

Aber was ich lustig finde, Tiscali hat sich immer noch nicht gemeldet.

Heute ruf ich gleich noch mal an !

Gruß

Merenda

Hi,

danke erst mal für dein Post. Also die Dateien /var/log/auth* || /var/log/ssh* sind nicht vorhaden, dafür ist die /var/log/message da. Und Sie gibt folgendes aus, wenn ich versuche, mich mit dem User ldapuser2 über Putty anzumelden:

Jun 22 09:29:43 mars sshd[6861]: Illegal user ldapuser2 from ::ffff:10.206.155.144

Jun 22 09:29:43 mars sshd[6861]: Failed none for illegal user ldapuser2 from ::ffff:10.206.155.144 port 4304 ssh2

Jun 22 09:29:58 mars sshd[6865]: Illegal user ldapuser2 from ::ffff:10.206.155.144

Jun 22 09:29:58 mars sshd[6865]: Failed none for illegal user ldapuser2 from ::ffff:10.206.155.144 port 4305 ssh2

:confused:

Warum sagt er illegal User ? Kann ich irgend wie testen oder client überhaupt funktioniert ?!

Ja ich hab das malgetestet und sie waren aktiv.

Aber ich werde das auf eine andere Platte schieben, da muss man zu viel ändern im Skript und ich weiß auch nicht wie das später ausieht zwecks andere Programme u.s.w.

Gruß

Merenda

Soweit ich weiss, war es anfangs befristet, aber Congster hat das Angebot verlängert (ich glaube auf unbefristete Zeit). Da kann ich mich aber auch täuschen.

Hm.... also ich hab mal vor 2 wochen angerufen und die haben gesagt, dass es nur bis ende diesen Monats ging ?! Ich ruf glaube ich lieber noch mal an.

Gruß

Merenda

Hallo,

so langsam fang ich das LDAP - Konzept zu verstehen.

Nur die Authentifizierung will nicht so ganz funktionieren ?!

Also LDAP Funktioniert ich hab auch schon einige User über LDIF auf dem LDAP-Server angelegt. Unter anderem auch den folgenden User:

dn: uid=ldapuser2,ou=Mitarbeiter,ou=users,o=avci,c=de

objectclass: top

objectclass: person

objectclass: inetorgPerson

objectclass: posixAccount

objectclass: organizationalPerson

cn: LDAP Testuser2

sn: ldap2

uid: ldapuser2

uidNumber: 506

gidNumber: 100

homeDirectory: /home/ldapuser2

userPassword: test2

loginShell: /bin/bash

yast aufgerunfen --> Use LDAP ausgewählt --> LDAP base DN eingetragen --> IP-Adresse des LDAP - Servers eingetragen -->  LDAP TLS/SSL ausgewält --> Finish.

Nach dem dies erledigt war habe ich versucht mittels Putty mich mit dem User ldapuser2 auf der dem Client B einzulogen. Er Promptet mich nach dem Passwort aber wenn ich das Passwort eingebe nihmt er das nicht an.

Hat jemand eine Ahnung was ich falsch gemacht haben könnte ?!

Danke schon mal für die Hilfe

Gruß

Merenda

wenn du ORACLE_BASE auf /tmp/oracle setzt, nimmt der installer das als basispfad für das inventory und oracle_home, d.h. oracle wird unter /tmp/oracle installiert (einige files auch nach /etc) und dein problem ist keins mehr.

-j

Also ich hab in der .profile der Oracle Users Folgendes eingetragen:

TEMP=/ORACLE/tmp

TMPDIR=/ORACLE/tmp

export TEMP TMPDIR


ORACLE_BASE=/ORACLE/opt/u01/app/oracle

ORCLFMAPLOC=/ORACLE/opt/ORCLfmap

ORACLE_SID=RMS

export ORACLE_BASE ORACLE_SID ORCLFMAPLOC


unset ORACLE_HOME

unset TNS_ADMIN

der installer doch ab, wohin der kram installiert werden soll. gibt einfach ein anderes verzeichnis an. root.sh wird aus den angaben des installer generiert, es bringt also nichts, dieses skript zu ändern.

man kann auch vorher ORACLE_BASE setzen, das ist aber in der installdoku erklärt.

-j

Wie meinst das es mit dem Verzeichnis angeben ? Ich hab die ORACLE_BASE schon gesezt !

Gruß

Merenda

Naja, sagen wir das mal so, als Mediamkart hier in DE diesen "SPARTAG - Keine Mehrwertsteuer" gebracht hat, sind ja so viele Leute ins Mediamarkt, dass sie sogar drausen standen, da war jetzt nicht so schlimm wie jetzt in Polen, aber schon krass für Deutsche verhältnise.

gruß

Merenda

Es soll nur ein Unabhängiges Verzeichnis verwaltet werden.

Hast da schon was im Sinn ?

Gruß

Merenda

Hi @all,

ich bin auf der suche nach einem LDAP-Administrationstool.

Es sollte Kostenlos sein und von Windows aus betrieben werden. Ich hab schon PHP lösungen gefunden, finde ich nicht schlecht, darf ich aber leider nicht einsetzen, und sonst hab ich bisher nur mist gefunden.

Vielleicht kann mir einer von euch was gute empfehlen ?!

Da tool soll mir bei meiner zentrale Benutzerverwaltung das leben erleichern

Danke schon mal für eure hilfe.

Gruß

Merenda