[FUG-BR] RES: Ldap no BSD
eletri em campus.cce.ufmg.br
eletri em campus.cce.ufmg.br
Segunda Fevereiro 25 14:05:51 BRT 2008
Boa tarde
Caros,
Somente hoje consegui restaurar o sistema e continuar meus teste com
LDAP. Realmente, Klaus, com o pcnfsd só foi necessário configurar os
arquivos:
------------------------------------------------------------
/usr/local/etc/openldap/ldap.conf
#
# LDAP Defaults
#
.
.
.
Base cd=dominio, dc=br
URI ldap://<ip-sevidora>
.
-------------------------------------------------------------
/etc/nsswitch.conf
group: files ldap
passwd: files ldap
------------------------------------------------------------
/usr/local/etc/nss_ldap.conf e ldap.conf (devem ser os mesmos; conforme
auxílio do Carlos Anderson Jardim)
host <ip-servidor>
base dc=dominio,dc=br
uri ldap://<ip-seridora>
------------------------------------------------------------
também alterei o login no /etc/pam.d/login adicionando os respectivos
apontamentos para o pam_ldap.so para todos iténs como sufficient (ainda
conforme o Carlos, mas somente o login).
------------------------------------------------------------
e somente com estas configurações (bastante similar às do Linux) e o
pcnfsd a máquina já busca o usuário na servidora.
Agora só me falta montar os diretórios assim que o usuário logar. O KDE
me deu o seguinte erro: Coud not start kstartupconfig. Contact
administrator . Na verdade ele não encontra o home do usuário para
montar. Anteriormente, na distro Linux, deixávamos no fstab as linhas
de comando para montagem dos diretórios nfs na máquina. Acredito que
pode haver outra forma de fazer isso sem auterar o fstab, não? Alguém
saberia me dizer?
Grato a todos
Olavo Augusto
> Desculpem o flood, mas fiquei intrigado com a necessidade do nosso amigo
> aí
> =)
>
> Se queres autenticar o nfs no freebsd tem o pcnfsd, é um rpc server que
> autentica, inclusive está no ports...
>
>
> Em 20/02/08, Klaus Schneider <klausps em gmail.com> escreveu:
>>
>> Olavo,
>>
>> Pelo que entendi, tu quer que os usuários autentiquem em ldap no teu
>> fedora, e acessem o /home através do nfs exportado do teu fodora e que o
>> usuário usado para efetuar logon efetue a autenticação no nfs para dar
>> permissão ao /home exportado.
>> A solução é usar o nsswitch/ldap e kerberos/ldap para autenticar o nfs,
>> e
>> pelo que estou vendo, tua preocupação é com segurança, pois caso o
>> usuário
>> consiga acesso ao root local, ele também teria acesso a todos os outros
>> diretórios dentro do home...
>>
>> O porém está no nfs do FreeBSD, e até onde sei, o FreeBSD não tem
>> suporte
>> a autenticação via kerberos no nfs, nem como client, nem como server.
>>
>> Em 20/02/08, eletri em campus.cce.ufmg.br <eletri em campus.cce.ufmg.br>
>> escreveu:
>> >
>> > Bom dia a todos
>> >
>> > Agradeço a colaboração, mas infelizmente não funcionou com este
>> passo
>> > a
>> > passo.
>> > Não consegui adicionar no arquivo de senhas a linha informada com o
>> > comando vipw, o sistema informou não ser um formato válido. Não
>> entendi
>> > que a que arquivo de grupos se refere; estes dados referente as
>> > penultimas configurações.
>> > Alterei os seguintes arquivos do /etc/pam.d/ : gdm, imap, kde,
>> login,
>> > passwd, xdm. O sshd, ftp, telnet, etc, são serviços que não uso e
>> > pretendo, após esta peleja, desbilitar, então nem mexi. O 'system' eu
>> > tive problemas ontem e não consegui recuperar as alteraçõse,
>> > necessitando restaurar o BSD e por isso preferi não mexer.
>> > Tirando estas duas excessões fiz tudo conforme ai está e não
>> > funcionou.
>> > Estou gostando muito do BSD mas é indispensável, para mim, que ele
>> > autentique na servidora de Arquivos-NFS/Ldap. A servidora é uma distro
>> > Linux/Fedora Core 5. Caso consiga implementar o BSD ele servirá a
>> todos
>> > os cursos de graduação e pós em Engenharia da Universidade Federal de
>> > Minas Gerais, em um laboratório com 20 a 25 máquinas; o que é um bom
>> > insentivo à divulgação do BSD, que é temido como uma distro Unix
>> > terrível e pouco amistosa. Será??? :-)
>> > Grato pelo auxílio e posto os resultados assim que testar
>> > Olavo Augusto
>> >
>> > > Creio que com esse passo a passo voce pode conseguir fazer funcionar
>> > seu
>> > > ldap client!!
>> > >
>> > > Pacotes Instalados:
>> > >
>> > > pam_ldap-1.8.4
>> > > pam_mkhomedir-0.1
>> > > nss_ldap-1.257
>> > > openldap-client-2.3.40
>> > >
>> > > ------------------------
>> > > /usr/local/etc/openldap/ldap.conf
>> > > ------------------------
>> > > #
>> > > # LDAP Defaults
>> > > #
>> > >
>> > > # See ldap.conf(5) for details
>> > > # This file should be world readable but not world writable.
>> > >
>> > > BASE dc=dominio, dc=com, dc=br
>> > > URI ldap://xxx.xxx.xxx.xxx
>> > >
>> > > #SIZELIMIT 12
>> > > #TIMELIMIT 15
>> > > #DEREF never
>> > >
>> > > ------------------------
>> > > /etc/nssswitch.conf
>> > > ------------------------
>> > >
>> > > group: compat
>> > > group_compat: ldap nis
>> > > hosts: files dns
>> > > networks: files
>> > > passwd: compat
>> > > passwd_compat: ldap nis
>> > > shells: files
>> > >
>> > > ------------------------
>> > > /usr/local/etc/nss_ldap.conf e ldap.conf (devem ser os mesmos)
>> > > ------------------------
>> > >
>> > > host xxx.xxx.xxx.xxx
>> > > base dc=dominio,dc=com,dc=br
>> > > uri ldap://xxx.xxx.xxx.xxx/
>> > > rootbinddn cn=Admin,dc=dominio,dc=com,dc=br
>> > > scope sub
>> > > bind_policy soft
>> > > pam_filter objectclass=posixAccount
>> > > pam_login_attribute uid
>> > > nss_base_passwd ou=Usuarios,dc=dominio,dc=com,dc=br?one
>> > > nss_base_shadow ou=Usuarios,dc=dominio,dc=com,dc=br?one
>> > > nss_base_group ou=Grupos,dc=dominio,dc=com,dc=br?one
>> > >
>> > > -----------------------------------------
>> > >
>> > > Adicionar no arquivo de senhas (atraves do comando vipw)
>> > >
>> > > +:*:::::
>> > >
>> > > Adicionar no arquivo de grupos:
>> > >
>> > > +:*::
>> > >
>> > > -----------------------------------------
>> > >
>> > > Alterar os arquivos sshd, ftp, system (dentre outros) dentro do
>> > > /etc/pam.d/
>> > > adicionando os respectivos apontamentos para o pam_ldap.so, tanto
>> para
>> > > auth,
>> > > account, session, password, etc... Não esquecendo que tem que ser
>> > > sufficient
>> > > !!!
>> > >
>> > > Somente com isso deve funcionar.
>> > >
>> > > Atenciosamente,
>> > >
>> > > --------------------------------
>> > > Carlos Anderson Jardim
>> > > Tecnologia da Informacao - Redes e Internet
>> > > Santa Casa de São José dos Campos
>> > > Linux User #403727
>> > > FUG-BR User #381
>> > > Tel.: (12) 3925-1873 - 3925-1925
>> > >
>> > >
>> > > -----Mensagem original-----
>> > > De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br]
>> Em
>> > nome
>> > > de eletri em campus.cce.ufmg.br
>> > > Enviada em: terça-feira, 19 de fevereiro de 2008 10:37
>> > > Para: Lista Brasileira de Discussão sobre FreeBSD
>> > > Assunto: Re: [FUG-BR] Ldap no BSD
>> > >
>> > > Bom dia
>> > >
>> > > Minha dificultada é configurar um cliente e não um servidor. Não
>> > estou
>> > > conseguindo fazer com que a estação encontre a servidora e
>> autentique
>> > o
>> > > login criando o sistema de arquivos deste. Configurei os arquivos
>> > > nsswitch.conf - ldap.conf na estação e não acessa. Se digito o
>> > comando:
>> > > #id teste(teste é um usuário para teste)
>> > > -ele retorna: #uid=4444(teste) gid=1000(grad) groups=1000(grad)
>> > > Como se estivesse enxergando a servidora, mas o login do ambiente
>> > > gráfico dá falha.
>> > >
>> > >> 2008/2/18 <eletri em campus.cce.ufmg.br>:
>> > >>> Sinceramente, não consegui ver nada, exceto duas linhas de
>> > >>> configuração
>> > >>> do radius para ldap. Desculpe minha ignorância, mas aonde ha uma
>> > >>> configuração para acesso a uma servidora de arquivos Ldap, neste
>> > link?
>> > >>> Grato
>> > >>> Olavo Agugusto
>> > >>>
>> > >>>
>> > >>
>> > >> Olá Augusto:
>> > >>
>> > >> Qual a sua dificuldade? O LDAP já está instalado, o que os logs
>> > dizem?
>> > >> Procure seguir a parte de configuração do LDAP do tutorial
>> LDAP+SAMBA
>> > >> que foi postado recentemente na FUG.
>> > >>
>> > >> http://www.fug.com.br/content/view/409/60/
>> > >>
>> > >> --
>> > >> Francisco Ricardo
>> > >> I3C - Treinamentos e Soluções Open Source
>> > >> (84)3211-1695 - ricardo em iccc.com.br
>> > >> Natal/RN
>> > >> -------------------------
>> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> > >>
>> > >
>> > > -------------------------
>> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> > >
>> > > -------------------------
>> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> > >
>> >
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>>
>>
>>
>> --
>> /*
>> * Klaus Schneider
>> */
>
>
>
>
> --
> /*
> * Klaus Schneider
> */
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd