- Вторник, 31 августа 2010

ldap_auth@conference.gentoo.ru

Вторник, 31 августа 2010< ^ >

anarchist установил(а) тему: Продолжаем debug

Конфигурация комнаты

Участники комнаты

GMT+4
[08:39:25] Anarchist вошёл(а) в комнату
[08:39:58] slepnoga вошёл(а) в комнату
[08:40:36] <slepnoga> так вот ты где затихарился :)
[08:51:00] <Anarchist> А что, меня кто-то разыскивает? :) В Jabber'е я присутствую. Но пока на чятики особого настроения нет.
[12:27:49] blow вошёл(а) в комнату
[12:28:04] <blow> всем привет
[12:36:27] <slepnoga> перевед
[12:36:37] <slepnoga> /etc/shadow еще нужен ?
[12:37:02] <slepnoga> и убавь, плиз, статус
[12:37:07] <blow> :-) да, как и вывод всех остальных комманд
[12:37:39] <blow> так норм?
[12:37:50] <slepnoga> супер
[12:39:20] <blow> по поводу sssd - он может авторизовать не только системных пользователей, но и mysql/postres, ejabberd, proftpd, dovecot/postfix?
[12:41:47] <slepnoga> https://fedorahosted.org/sssd/
[12:45:05] <blow> я не силен в терминологии... похоже, nss это то, что мне нужно?
[12:47:58] <blow> тогда такой вопрос - в чем принципиальное отличие от openldap?
[12:48:41] <slepnoga> по сравнению с чем ?
[12:49:48] <blow> sssd и openldap
[12:51:07] <slepnoga> sssd не лдап сервер
[12:51:47] <slepnoga> это более продвинутый аналог pam_ldap/pam_nss
[12:52:32] <slepnoga> если говорить про другой сервер
[12:53:03] <slepnoga> то это I] net-nds/389-admin (1.1.11_rc1@04.08.2010): 389 Directory Server (admin)
[I] net-nds/389-ds-base (1.2.6_rc7@25.08.2010): 389 Directory Server (core librares and daemons )
[12:56:38] <blow> т.е. используется другое хранилище?
[13:02:27] <Anarchist> Все они (включая 389) восходят к OpenLDAP.
[13:05:59] <blow> т.е. slepnoga мне предлагает сменить pam_ldap/pam_nss, но оставить openldap?
[13:08:47] <Anarchist> Скорее "посмотреть на альтернативу".
[13:09:53] <slepnoga> Anarchist:  они (включая 389) - нуу, тогда пртицы и обезяны тоже близкие родственники, ибо с планеты Земля :)
[13:10:04] <slepnoga> птицы*
[13:16:59] <blow> я не пойму, sssd взаимодействует с openldap или является его заменой?
[13:17:56] <Anarchist> Он скорее является заменой pam_ldap/nss_ldap.
[13:19:48] <blow> а с openldap взаимодействует? или хранилище только 389?
[13:20:12] <slepnoga> а 389 эыо ldap  сервер
[13:24:43] <Anarchist> AD --- тоже вроде как реализация LDAP'а...
[13:24:55] <slepnoga> неа
[13:25:09] <slepnoga> хотя да, лдап там есть
[13:25:09] <Anarchist> blow pam_ldap/nss_ldap могут работать и с 389
[13:25:17] <Anarchist> slepnoga а что тогда?
[13:26:24] <slepnoga> Anarchist:  все сразу - вещь для ревшения любых мыслимых у не мыслимых задач, боевая еденица сама в себе
[13:26:30] <slepnoga> и*
[13:54:58] <blow> и все таки - в чем минусы pam_lda/nss_ldap по сравнению с sssd
[13:55:00] <blow> ?
[14:02:17] <Anarchist> blow Это вопрос к slepnoga. Я так понимаю, ему просто нужна статистика :) Тебе же достаточно понять как оно работает.
[14:18:31] <blow> Anarchist: для начала хотелось бы понять, в чем я выигрываю, используя sssd :-) А тем временем неплохо было бы разобраться, что у меня не так с openldap/pam_ldap :-)
[14:28:56] <Anarchist> blow что-то мне вспоминается на тему, что в умолчательных настройках pam/nss_ldap регистрация пользователей с UID (ЕМНИП, по умолчанию) < 1000 была запрещена...
[14:29:21] <Anarchist> pam_min_uid
[14:30:01] <Anarchist> Хотя, сейчас оно может и не актуально...
[14:30:16] <Anarchist> Но тренироваться рекомендую на кошечках, root'а оставь напоследок.
[14:30:40] slepnoga вышел(а) из комнаты
[14:31:48] <blow> но ведь тогда ошибки были-бы не такие, нет? а  тут проблема взаимодействия с openldap. [code]getent passwd[/code] например тоже не работает
[14:40:27] <Anarchist> # The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
[14:40:43] <Anarchist> blow намёк понял? :)
[14:41:30] <blow> а файлик-с не подскажете? :-) (с)
[14:41:44] <blow> или grep рулит? :-)
[14:42:00] <Anarchist> Ай-яй-яй. В _ЭТИХ_ файликах надо бы и ориентироваться.
[14:42:09] <Anarchist> Это конфиг pam/nss_ldap
[14:42:40] <Anarchist> Засим посылаю тебя... читать slapd.conf на предмет разрешённости анонимного доступа.
[14:42:58] <Anarchist> *твой
[14:43:11] <blow> анонимусам разрешена только авторизация
[14:44:20] <Anarchist> Вот почему nss_ldap ничего у тебя на сервере не находит.
[14:45:15] <blow> да, но где настраивается авторизация к openldap?
[14:45:53] <Anarchist> Не понял вопроса.
[14:45:56] <blow> в мануале я этого не увидел
[14:46:18] <blow> где указать pam/nss_ldap пароль к openldap?
[14:46:30] <Anarchist> Карандашик, бумажку, записываешь чего не видел. Идёшь в багзиллу. Пишешь багу... :)
[14:47:03] <Anarchist> Может быть сначала создать пользователя, которым будешь ходить?
[14:47:08] <blow> в багзилу я пойду, когда весь мануал осилю и все запущу :-)
[14:47:57] <blow> наверно нужно создать пользователя, не под ldap adminom же ходить :-)
[14:47:58] <Anarchist> Например uid=pam-nss,ou=Services,dc=mydomain,dc=ru
[14:48:15] <Anarchist> Потом этому пользователю задаёшь пароль.
[14:51:17] <blow> т.е. это не системный пользователь, а отдельная запись в ldap, правильно? и где его нужно указать на клиентской машине?
[14:53:38] <Anarchist> Можешь использовать для этого и системного пользователя.
[14:53:56] <Anarchist> В терминах LDAP'а это Simple Security Object
[14:54:23] <Anarchist> Его сначала нужно создать на сервере, задать пароль и прописать в Acl'ы.
[14:54:55] <Anarchist> На клиентских машинах прописывать в конфиг pam/nss_ldap (/etc/ldap.conf).
[14:55:07] <Anarchist> И ты пиши, пиши карандашиком... :)
[14:55:14] <blow> я еще acl не создавал :-(
[14:55:23] <blow> да и на память не жалуюсь пока :-)
[14:57:20] <Anarchist> Когда объём не сильно актуальной с точки зрения решаемой задачи превысит некоторый объём будет поздно. Поверь моему опыту :)
[14:57:42] <Anarchist> Про написания Acl'ов в статье достаточно? Или лучше повторить здесь?
[14:58:40] <blow> я просто эту переписку в текстовичек сложу, эта та память, на которую я не жалуюсь :-)
[14:59:27] <blow> ага, вот как-раз перед acl я и остановился в мануале
[14:59:59] <blow> вроде как там понятно, должен разобраться
[15:00:34] <Anarchist> А вот у меня как раз к этой секции были претензии... Так что если что не понятно --- заходи.
[15:01:12] <blow> ок :-) сейчас только воспроизведу то, что ты раньше написал :-)
[15:03:32] <Anarchist> И покажи получившийся у тебя slapd.conf (интересует секция с Acl'ами) В нулевом приближении можно на wgetpaste.
[15:06:18] <blow> http://paste.pocoo.org/show/256617/
[15:08:38] <Anarchist> Холявщег! :) Я имел в виду не исходный, а когда ты создашь объёкт и пропишешь для него доступ.
[15:08:47] <blow> а какой вариант лучше выбрать, чтобы ходить на ldap?
#binddn cn=proxyuser,dc=padl,dc=com
или
#rootbinddn cn=manager,dc=padl,dc=com
? я так понимаю proxy безопаснее :-)
[15:09:32] <blow> да, халявщик еще тот :-)
[15:10:42] <Anarchist> Тебе доступ к LDAP'у с правами администратора нужен?
[15:10:54] <Anarchist> Паранойя vs производительность :)
[15:11:08] <Anarchist> Рисуй пока binddn и будет тебе счастье.
[15:13:09] <blow> а про производительность подробнее можно? производительность всех операций, или обновление/создание пользователей(записей)?
[15:15:23] <Anarchist> RTFM на предмет сути LDAP'а.ж
[15:16:01] <Anarchist> Под производительностью имеется в виду то, что на примере HTTP использования 1024-битного ключа сажало производительность на десятичный порядок.
[15:17:17] <Anarchist> Тему бенчмарк-тестов для LDAP'а пока не проработал... :(
[15:18:20] <blow> из-за proxy-user'a? O_o не, мне конечно производительность не критична, а критично удобство и безопасность
[15:18:30] blow afk 10 мин
[15:20:39] <Anarchist> Нет. Оно к шифрованию сетевого обмена с LDAP-сервером.
[15:20:53] <Anarchist> Дык дилемма стандартная: удобство vs безопасность.
[15:58:17] <blow> ладно, тогда с этим потом буду разбираться, сейчас сеть защищена, буду использовать binddn
[16:00:55] <Anarchist> Вообще защита это к SSL...
[16:01:34] <blow> да, а зачем тогда rootbinddn?
[16:57:47] <blow> мда
#cat /tmp/ldapproxyuser.ldif
uid: ldapproxyuser
ou: Services
objectClass: account
objectClass: simpleSecurityObject
userPassword: {SSHA}T3Fdig8YwPsxOtNydIAK/LzgyxSky/In
ldapadd -x -D "cn=Manager,dc=blow.dnsalias,dc=com" -W -f /tmp/ldapproxyuser.ldif - без ошибок
но в phpldapadmin ничего не вижу :-(
[16:58:31] <blow> а, стоп, phpldapadmin показал ошибку
[16:58:55] <Anarchist> Интересно... А соответствующую группу ты создать не забыл?
[16:59:34] <Anarchist> Ты уверен, что ldapadd (точнее именно он у меня не работал, но есть ldapmodify, он тоже добавлять умеет) не ругался?
[17:02:42] <blow> ldapadd не ругнулся, группа Services уже есть (скрипты с padl создали). а phpldapadmin ругнулся на отсутствие dn. Добавил - теперь ругается, что объект уже существует, хотя я его не вижу :-(
[17:04:11] <Anarchist> Мда... А ты, я вижу, некритично (и совершенно не творчески) отнёсся к разбору результатов работы скриптов миграции от padl...
[17:05:57] <blow> не, ну насоздавали они мне груп - ок, пофигу. а данные экспортировал только те, которые нужны (ну не нужен мне fstab или protocols в ldape :-))
[17:07:18] <blow> dn: cn=ldapproxyuser,dc=blow.dnsalias,dc=com
uid: ldapproxyuser
ou: Services
objectClass: account
objectClass: simpleSecurityObject
userPassword: {SSHA}T3Fdig8YwPsxOtNydIAK/LzgyxSky/In
тоже ни в какую :-(
[17:08:48] <Anarchist> В смысле: Protocols?
[17:09:37] <blow> /etc/protocols
[17:14:36] Anarchist вышел(а) из комнаты
[17:15:57] <blow> dn: cn=ldapproxyuser,ou=Services,dc=blow.dnsalias,dc=com
objectClass: account
objectClass: simpleSecurityObject
userPassword: {SSHA}T3Fdig8YwPsxOtNydIAK/LzgyxSky/In
и так нет :-(  а есть где-нибудь дока по этому делу?
[17:19:49] Anarchist вошёл(а) в комнату
[17:20:09] <Anarchist> Вменяемой доки не видел.
[17:24:47] <Anarchist> ldif сейчас посмотрю.
[17:29:12] <Anarchist> dn: uid=squid,ou=Services,dc=mydomain,c=ru
objectClass: account
objectClass: simpleSecurityObject
objectClass: top
uid: squid
userPassword:: ...
[17:54:43] <blow> dn: uid=ldapproxyuser,ou=Services,dc=blow.dnsalias,dc=com
objectClass: account
objectClass: simpleSecurityObject
objectClass: top
userPassword: {SSHA}T3Fdig8YwPsxOtNydIAK/LzgyxSky/In
uid: ldapproxyuser
вот так :-)
[17:56:02] <Anarchist> Давай до завтра?
[17:56:05] <Anarchist> Работает?
[17:56:22] Anarchist вышел(а) из комнаты
[17:56:29] <blow> ок, спасибо
[17:56:31] blow вышел(а) из комнаты
[17:57:06] blow вошёл(а) в комнату
[19:03:24] slepnoga вошёл(а) в комнату
[19:27:32] blow вышел(а) из комнаты