作者 主題: [筆記]LDAP服務實做筆記! (二)  (閱讀 70304 次)

0 會員 與 1 訪客 正在閱讀本文。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (二)
« 於: 2004-10-23 00:34 »
歡迎轉載 . 轉載前請先以電子郵件或者書面方式告知. 如果有任何修改請來信通知小弟, 不得作為商業用途(包含轉變為任何形式的講義,書籍片段, 網頁文章, 或者教材, 本人會保留任何形式的訴訟權利), 轉載時並請保持此一宣告.

作者: 日京三子 <a843433{at}yahoo{dot}com>

第一篇裡面, 小弟告訴大家, 如何建立一個LDAP系統的根本. 這次, 就把目標放在跟PAM系統, 包含Sendmail 與 dovecot 這兩部分.


在第一篇的時候, 已經告訴大家如何建立一個基礎的LDAP系統. 基本上, 如果你很完整的按照小弟的步驟匯入LDAP server, 並且也用ldapsearch檢查過資料內容, 那應該是OK了才對.

小弟建立了一個使用者, 他"長"的像下面這樣:
代碼: [選擇]
dn: uid=abcd,ou=People,dc=your,dc=com
uid: abcd
cn: abcd
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}$1$ahz3dh5h$TrjekyZu/y5yKXwud5zWO/
shadowLastChange: 12481
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 514
gidNumber: 502
homeDirectory: /home/abcd
(沒錯! 就是在第一篇裡面的範例人物, abcd! )

接著, 我們要讓這個abcd能夠像一般利用useradd所新增的使用者一樣, 可以透過LDAP服務, 登入到Linux系統. 想當然爾, 第一步就是結合PAM系統! 首先, 先修改 /etc/openldap/ldap.conf 這個檔案:
代碼: [選擇]
HOST 127.0.0.1
BASE dc=your,dc=com
URI     ldap://127.0.0.1
    特別注意的是,
HOST一定是你的正確IP, 或者是能透過DNS系統能夠找到的網域主機名稱. 如果這地方設定錯誤, 或者是一個不正確的IP, LDAP系統就跑不起來 ! 如果怕死, 請跟我一樣, 設定為127.0.0.1, 這樣最保險 :lol:

BASE 的設定值 則一定要跟你在 /etc/openldap/sldap.conf 裡面這段的設定相同:
代碼: [選擇]
suffix          "dc=your,dc=com"

至於URI ldap://127.0.0.1 這部分的描述, 很抱歉, 小弟只是按照該檔案的說明照抄的, 並沒有去深刻的瞭解是甚麼作用, 還請知道的朋友告知一下 ^^"[/list]






再來, 是修改 /etc/ldap.conf 這個檔案:
代碼: [選擇]
host 127.0.0.1
base dc=your,dc=com


此時, 請檢查一下, 因為我們要利用的是PAM系統, 而我們需要的pam_ldap模組是屬於nss_ldap的一部份, 所以請你用這個指令檢查一下(RedHat系的就不用檢查了, 一定有! ):
代碼: [選擇]
rpm -qa|grep nss_ldap像我的RedHat Fedora Core 2的版本裡面, 內建的是這個模組
代碼: [選擇]
nss_ldap-217-1

當上面的部分修改完, 檢查OK的時候, 請深呼吸, 並先把/etc/pam.d/system-auth複製一份到其他地方. 因為這是系統最重要的檔案, 如果你改錯了, 很抱歉, 系統就不會讓你登入了(除了進入單機救援模式之外...但太嚴重也會讓Single mode起不來, 必須靠救援磁片或開機光碟來搶救, 千萬要小心!).... 在複製備份之後, 請把/etc/pam.d/system-auth修改成像下面一樣:
代碼: [選擇]
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/pam_winbind.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
#       ----------------------------
auth        sufficient    /lib/security/$ISA/pam_ldap.so use_first_pass
#       ----------------------------


auth        required      /lib/security/$ISA/pam_deny.so

account     required      /lib/security/$ISA/pam_unix.so
#       ----------------------------
account     [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_ldap.so
#       ----------------------------

password    required      /lib/security/$ISA/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow

#       ----------------------------
password    sufficient    /lib/security/$ISA/pam_ldap.so use_authtok
#       ----------------------------

password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so
#       ----------------------------
session     optional      /lib/security/$ISA/pam_ldap.so
中間有四個地方被新增進來(看到pam_ldap.so就是新增的啦~), 再次叮嚀, 要注意, 要小心, 有大小寫之分, 空格跟TAB沒關係. 但小心打錯字!

最後的一個部分, 就是修改系統認證的順序. 請開啟/etc/nsswitch.conf,找到符合描述的片段並修改成像下面這樣
代碼: [選擇]
passwd:     ldap files
shadow:     ldap files
group:      ldap files
在這步驟完成之後, 請再次確認與檢查 /etc/pam.d/system-auth這個檔案, 確保沒有問題, 然後重新開機....
代碼: [選擇]

#---------------------------------------#

                  驚險刺激的冒險....

                  驚心動魄的期待....


                  電腦順利重新

                          ^_^"

#---------------------------------------#


過了幾分鐘的開機等候, 應該很順利的成功開機, 並且在那邊等著你輸入帳號密碼. 請嘗試一下我們所建立的abcd與他的密碼. 按照常理來說, 你應該可以快樂的登入系統. 但會遇到下面這個訊息:
代碼: [選擇]
No directory /home/abcd!
Logging in with home = "/".
-bash-2.05b$
(註)這是因為我們並沒有為這個使用者建立家目錄所引發的系統警告. 請做下面三行指令以建立abcd的家目錄:
代碼: [選擇]
mkdir /home/abcd
chown 514.502 /home/abcd
chmod 700 /home/abcd
順便, 為了讓這個abcd使用者能收發信件, 所以我順手幫他建立信箱:
代碼: [選擇]
touch /var/spool/mail/abcd
chown 514.mail /var/spool/mail/abcd



這一切都OK之後, 再次登入時應該就不會有系統警告了! 此時也可以快樂的利用這個abcd帳號進行收信(當然, 前提是你有正確的設定Sendmail服務!), 但發信的部分會遭遇到問題! 請編輯/etc/dovecot.conf, 並修改這幾個標題的敘述如下面所示:
代碼: [選擇]
protocols = imap pop3
...
...
auth_userdb = ldap /etc/dovecot-ldap.conf
auth_passdb = ldap /etc/dovecot-ldap.conf
(大約分別在15, 384, 與400行的地方)

並且, 自己新增一個檔案, 為/etc/dovecot-ldap.conf, 內容如下:
代碼: [選擇]
hosts = 127.0.0.1

dn = uid=root,ou=People,dc=your,dc=com

# Password for LDAP server
dnpass = your-dn-root-passwd

# LDAP protocol version to use. Likely 2 or 3.
ldap_version = 3

# LDAP base
base = dc=your,dc=com
在重新執行dovecot之後, 去看看 /var/log/message 裡面有沒有任何的錯誤訊息

當然, 你應該也會像我一樣, 採用sasl認證機制, 你也會遇到像我一樣的問題, 請看小弟發問的問題






如果一切都很順利,  恭喜! 你已經完成 LDAP + Mail 的艱難任務了!






#--------------------------------------#
註: 事實上, 我沒遇到那個錯誤訊息. 我是從Linux網路管理實務(施威銘出版社 著)P4-38上面抄來的.
#--------------------------------------#

本篇資料來源:
    1. Linux網路管理實務(施威銘出版社 著), ISBN 957-442-111-2

    2.
www.idealx.org[/list]

-------------
期待 samba 篇吧 ^O^
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4226
    • 檢視個人資料
    • http://blog.damon.tw/
[筆記]LDAP服務實做筆記! (二)
« 回覆 #1 於: 2004-10-23 08:11 »
1.發信跟dovecot有甚麼關係?
2.dovecot還是有支援pam的,不需要自己在這樣搞

天線

  • 榮譽博士
  • 憂鬱的高中生
  • ***
  • 文章數: 155
    • 檢視個人資料
Re: [筆記]LDAP服務實做筆記! (二)
« 回覆 #2 於: 2004-10-23 13:45 »
引述: "日京三子"
歡迎轉載 . 轉載前請先以電子郵件或者書面方式告知. 如果有任何修改請來信通知小弟, 不得作為商業用途(包含轉變為任何形式的講義,書籍片段, 網頁文章, 或者教材, 本人會保留任何形式的訴訟權利), 轉載時並請保持此一宣告.

作者: 日京三子 <a843433{at}yahoo{dot}com>


接著, 我們要讓這個abcd能夠像一般利用useradd所新增的使用者一樣, 可以透過LDAP服務, 登入到Linux系統. 想當然爾, 第一步就是結合PAM系統! 首先, 先修改 /etc/openldap/ldap.conf 這個檔案:
代碼: [選擇]
HOST 127.0.0.1
BASE dc=your,dc=com
URI     ldap://127.0.0.1
    特別注意的是,
HOST一定是你的正確IP, 或者是能透過DNS系統能夠找到的網域主機名稱. 如果這地方設定錯誤, 或者是一個不正確的IP, LDAP系統就跑不起來 ! 如果怕死, 請跟我一樣, 設定為127.0.0.1, 這樣最保險 :lol:

BASE 的設定值 則一定要跟你在 /etc/openldap/sldap.conf 裡面這段的設定相同:
代碼: [選擇]
suffix          "dc=your,dc=com"

至於URI ldap://127.0.0.1 這部分的描述, 很抱歉, 小弟只是按照該檔案的說明照抄的, 並沒有去深刻的瞭解是甚麼作用, 還請知道的朋友告知一下 ^^"[/list]

------------
期待 samba 篇吧 ^O^



/etc/openldap/ldap.conf
這個設定檔並非提供slapd使用,所以有沒有設定好並不會影響slapd的啟動
slapd 啟動只會去查詢 slapd.conf

這個設定檔是提供slapdadd.......這類工具使用的
免除下指令時還要打一大堆參數

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (二)
« 回覆 #3 於: 2004-10-23 20:49 »
話說, 各位前輩提點了之後, 經過用力的翻書, 我找到正確設定pam系統的設定方法......

就smtp方面, 請打開/etc/pam.d/smtp, 並修改為下面的樣子:
代碼: [選擇]
auth    sufficient      pam_ldap.so
auth       required     pam_stack.so service=system-auth
account sufficient      pam_ldap.so
account    required     pam_stack.so service=system-auth


如果要讓ldap支援ftp程式, 以vsftpd為例, 請打開 /etc/pam.d/vsftpd, 修改為下面這樣:
代碼: [選擇]
auth       required     pam_listfile.so item=user sense=deny file=/etc/vsftpd.ftpusers onerr=succeed
auth    sufficient      pam_ldap.so
auth       required     pam_stack.so service=system-auth
auth       required     pam_shells.so
account sufficient      pam_ldap.so
account    required     pam_stack.so service=system-auth
session    required     pam_stack.so service=system-auth
至於大家愛用的proftpd, 很抱歉, 小弟不知道怎麼設定, 還希望各位前輩指點一下^^"
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #4 於: 2004-11-15 17:56 »
i had follow the exact setting in /etc/pam.d/system-auth

but when i try to login using the account in LDAP, i can't do that!!
(lucky i still can login as root).
when use outlook to receive mails (my ipop is dovecot), i always getting passwd error... this is the maillog:


Nov 15 17:33:44 mail1 dovecot-auth: PAM (system-auth) no module name supplied
Nov 15 17:33:44 mail1 dovecot-auth: PAM unable to dlopen(<*unknown module path*>)
Nov 15 17:33:44 mail1 dovecot-auth: PAM [dlerror: <*unknown module path*>: cannot open shared object file: No such file or directory]
Nov 15 17:33:44 mail1 dovecot-auth: PAM adding faulty module: <*unknown module path*>
Nov 15 17:33:44 mail1 dovecot-auth: PAM (system-auth) illegal module type: system_err=ignore]
Nov 15 17:33:44 mail1 dovecot-auth: PAM pam_parse: expecting return value; [.../lib/security/$ISA/pam_ldap.so]
Nov 15 17:33:44 mail1 dovecot-auth: PAM (system-auth) no module name supplied
Nov 15 17:33:44 mail1 pop3-login: Disconnected [192.168.1.254]

another thing is my pam_ldap.so is locate in /lib/security/, why the path is system-auth have to use as below? can i just change it to my path?

session     optional      /lib/security/$ISA/pam_ldap.so
[/quote]
resh :>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (二)
« 回覆 #5 於: 2004-11-15 22:51 »
檢查你檔案的路徑. 因為你沒有把設定檔案貼上來, 所以光這樣是無法找到原因的.....
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #6 於: 2004-11-16 14:20 »
now ok ready...
i forgot to do the authconfig, another thing is i must put this posixAccount as objectClass as well

thanks
resh :>

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #7 於: 2004-11-16 18:13 »
日京三子
do u know how to do postfix+ldap+quota ??
postfix -> LDAP -> quota

i want to control the quota for all of the users by LDAP.

thanks
resh :>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (二)
« 回覆 #8 於: 2004-11-16 19:17 »
引述: "cktan981212"
日京三子
do u know how to do postfix+ldap+quota ??
postfix -> LDAP -> quota

i want to control the quota for all of the users by LDAP.

thanks


道理一樣, 如果你能正常收發信件,應該沒甚麼困難的才對...
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #9 於: 2004-11-16 19:36 »
which option should i use in /etc/postfix/main.f

my main.cf:

local_transport = virtual
virtual_mailbox_base = /
virtual_mailbox_maps = ldap:ldapvirtual
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_minimum_uid = 500
#virtual_mailbox_limit = 0
ldapvirtual_server_host = 127.0.0.1
ldapvirtual_server_port = 389
ldapvirtual_bind = yes
ldapvirtual_bind_dn = cn=Manager, dc=example, dc=com
ldapvirtual_bind_pw = 1234
ldapvirtual_search_base = ou=accounts, ou=postfix, dc=example, dc=com
ldapvirtual_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(|(AccountStatus=active)(accountStatus=shared)))
ldapvirtual_result_attribute = mailMessageStore




mydestination = $myhostname, localhost.$mydomain, localhost, ldap:acceptdomains
acceptdomains_server_host = 127.0.0.1
acceptdomains_server_port = 389
acceptdomains_bind = yes
acceptdomains_bind_dn = cn=Manager,  dc=example, dc=com
acceptdomains_bind_pw = 1234
acceptdomains_search_base = ou=accounts, ou=postfix, dc=example, dc=com
acceptdomains_query_filter = (associatedDomain=*)
acceptdomains_result_attribute = associatedDomain

virtual_maps = ldap:ldapalias
ldapalias_server_host = 127.0.0.1
ldapalias_server_port = 389
ldapalias_bind = yes
ldapalias_bind_dn = cn=Manager, dc=example, dc=com
ldapalias_bind_pw = 1234
ldapalias_search_base = ou=accounts, ou=postfix, dc=example, dc=com
ldapalias_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(|(AccountStatus=active)(AccountStatus=shared)))
ldapalias_result_attribute = mail

message_size_limit = 5242880

virtual_mailbox_limit_maps = ldap:ldapquota
ldapquota_server_host = 127.0.0.1
ldapquota_server_port= 389
ldapquota_bind_dn = cn=Manager, dc=example ,dc=com
ldapquota_bind_pw = 1234
ldapquota_search_base = ou=accounts, ou=postfix, dc=example, dc=com
ldapquota_query_filter = ((objectClass=posixAccount)(mail=%s))(AccountStatus=active))
ldapquota_result_attribute = mailQuotaSize
ldapquota_bind = yes
ldapquota_version = 3
ldapquota_debuglevel = 0


but this virtual_mailbox_limit_maps  seen not a option in main.cf

thanks
resh :>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (二)
« 回覆 #10 於: 2004-11-16 21:39 »
你做錯一件事情.....


有了輪子, 何必自己修改postfix來適應LDAP? 只要你postfix本身可以正常運作, 只要修改相對應的pam系統, 就OK了, 這些修改都是多餘的!
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #11 於: 2004-11-16 21:48 »
but i need quota also.....
resh :>

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #12 於: 2004-11-16 21:50 »
引用
你做錯一件事情.....


有了輪子, 何必自己修改postfix來適應LDAP? 只要你postfix本身可以正常運作, 只要修改相對應的pam系統, 就OK了, 這些修改都是多餘的!


but i need quota also.... are u going to ask me do quota manually??
or maybe u got the solution for this?

thanks
resh :>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (二)
« 回覆 #13 於: 2004-11-16 22:48 »
引述: "cktan981212"
but i need quota also.... are u going to ask me do quota manually??
or maybe u got the solution for this?

thanks


只要你能正常且順利的跑LDAP服務, 讓這些帳號能登入系統(就算是nologin也算) 那麼, 系統既然已經認為這是系統帳號了, 你還有甚麼不會設定的地方呢??

就按照一般的quota設定就好啦~~
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #14 於: 2004-11-16 23:26 »
i want the quota setting refer to ldap as well....
the mail server have to support also..
normally people will so either:
1) setup the virtual_mailbox_limit_maps..... but my postfix doesn't have this option (my one is running postfix 2.1.5).
2) using maildrop to check the quota in ldap.... now trying......

引用
只要你能正常且順利的跑LDAP服務, 讓這些帳號能登入系統(就算是nologin也算) 那麼, 系統既然已經認為這是系統帳號了, 你還有甚麼不會設定的地方呢??

就按照一般的quota設定就好啦~~


the normal setting means wat?  manually put in edquota user .............
or maybe u can show my the way

thanks
resh :>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (二)
« 回覆 #15 於: 2004-11-19 14:40 »
引述: "cktan981212"
i
引用
只要你能正常且順利的跑LDAP服務, 讓這些帳號能登入系統(就算是nologin也算) 那麼, 系統既然已經認為這是系統帳號了, 你還有甚麼不會設定的地方呢??

就按照一般的quota設定就好啦~~


the normal setting means wat?  manually put in edquota user .............
or maybe u can show my the way

thanks


簡單的說,一般我們人類為了辨識方便,都會這麼設定:
引用
equota    日京三子


但,對機器來說,其實是這樣的:
引用
equota    uid


所以,你可以改用你在ldif裡面設定的uid來設定看看.這就是我說的,『按照一般的quota設定就好啦』.
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #16 於: 2004-11-19 16:14 »
i had patch the VDA to postfix and now, i'm able to control the quota through LDAP.
Thanks for your reply.....

yeah, any one had do the web/internet cluster system before?? because i need some information regards this.

thanks
resh :>

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #17 於: 2004-11-30 00:18 »
Quick Reply ModFC2 + Postfix + Dovecot Imap + Openldap + Mailscanner + SNMP + Clamav + Squirrelmail + SpamAssassin + MailQuota + SMTP Authentication

这是小弟刚刚完成的系统啦。。。已经跑了几天,一切都还好。
有一个问题是小弟要如何设定login 是 with domain name.

现在的login都是user name 而已。 希望能够设成 user@domain 来登录。

谢谢
resh :>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (二)
« 回覆 #18 於: 2004-11-30 08:22 »
引述: "cktan981212"
Quick Reply ModFC2 + Postfix + Dovecot Imap + Openldap + Mailscanner + SNMP + Clamav + Squirrelmail + SpamAssassin + MailQuota + SMTP Authentication

这是小弟刚刚完成的系统啦。。。已经跑了几天,一切都还好。
有一个问题是小弟要如何设定login 是 with domain name.

现在的login都是user name 而已。 希望能够设成 user@domain 来登录。

谢谢

你回頭想想,我們是用ldif那個欄位作為帳號檢查的? 又或者,找個適合的client program來登入?
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #19 於: 2004-11-30 12:00 »
of course we are using ldif for account checking..... so......
is that possible we put uid = abc@domain?
but i know that we can't put @ in uid field.

so, some one tell me out uid=abc.domain instead of using @ !!
i'm not sure whether is workable......

my supervisor ask me is better don't use abc.domain format because it will cause a lot of problems expecially when try to export the ldif and import back.... there will be a lot of thing have to do.

sorry to use english because i don't have chinese input in my office.
resh :>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (二)
« 回覆 #20 於: 2004-11-30 12:11 »
引述: "cktan981212"
of course we are using ldif for account checking..... so......
is that possible we put uid = abc@domain?
but i know that we can't put @ in uid field.

so, some one tell me out uid=abc.domain instead of using @ !!
i'm not sure whether is workable......

my supervisor ask me is better don't use abc.domain format because it will cause a lot of problems expecially when try to export the ldif and import back.... there will be a lot of thing have to do.

sorry to use english because i don't have chinese input in my office.


如果是這樣,那就只剩下一個方法,山不轉路轉,換個客戶端登入程式.如果你是XP系的,可以考慮pgina套件....

或者,把Openldap丟掉,用微軟的AD-DC,如果這麼堅持的話...
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #21 於: 2004-11-30 12:18 »
We will going to integrate all servers with freeradius... so forget about the windows.
My company will going to be like ISP as well.

so......
resh :>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (二)
« 回覆 #22 於: 2004-12-01 13:44 »
引述: "cktan981212"
My company will going to be like ISP as well.


我看不懂這句,能不能請你解釋一下?
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #23 於: 2004-12-01 13:57 »
i mean my company is going to be Internet Service Provider like hinet....
the mail server will integrated with radius server.
resh :>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8824
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (二)
« 回覆 #24 於: 2004-12-01 14:04 »
引述: "cktan981212"
i mean my company is going to be Internet Service Provider like hinet....
the mail server will integrated with radius server.

你的公司是擔任ISP!!

那..... 你要不要找專門的公司團隊來幫你解決問題?
-----
印象中,radius 在多人時負載滿大的,很吃資源;你又加上會很忙碌的Mail service,那.... 是不是該經常覆頌『南無阿彌陀佛』?
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

cktan981212

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #25 於: 2004-12-01 14:08 »
we will setup all the system ourself,

we will going to purchase a high end server once every thing is running well. don't worry about the resources.
resh :>

leiw

  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #26 於: 2006-07-30 00:57 »
想請問之後在Linux useradd 是不是/etc/passwd 和 /etc/shadow 就不會再有record ? 全都加到LDAP ?

如果是全都加到LDAP, 那麼可否限制某位使用者在/etc/passwd 用/sbin/nologin不能使用Putty登入Linux ?

Thank

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
[筆記]LDAP服務實做筆記! (二)
« 回覆 #27 於: 2006-07-30 01:31 »
引述: "leiw"
想請問之後在Linux useradd 是不是/etc/passwd 和 /etc/shadow 就不會再有record ? 全都加到LDAP ?

如果是全都加到LDAP, 那麼可否限制某位使用者在/etc/passwd 用/sbin/nologin不能使用Putty登入Linux ?

Thank


putty ?...你是說用 ssh 吧....

這種管理用 pam 來做禁止登入名單或是在 sshd_config 中做...
應該跟 ldap 沒關係...
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

leiw

  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (二)
« 回覆 #28 於: 2006-07-30 01:47 »
看過鳥哥我ssh文章, sshd_config裡有 #UserLogin no, 但我的CentOS4.2

沒有這個, 常試過加進去, 但不能restart...




Thank

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3673
    • 檢視個人資料
    • http://kenduest.sayya.org
[筆記]LDAP服務實做筆記! (二)
« 回覆 #29 於: 2006-07-30 02:28 »
引述: "leiw"
想請問之後在Linux useradd 是不是/etc/passwd 和 /etc/shadow 就不會再有record ? 全都加到LDAP ?
如果是全都加到LDAP, 那麼可否限制某位使用者在/etc/passwd 用/sbin/nologin不能使用Putty登入Linux ?
Thank


1. 基本上標準的 useradd 等程式根本不支援 ldap db 讀寫存取,所以你得使用其他專屬工具。若是使用 suse linux 的話,本身的使用者管理程式都是另外 project 成果,所以程式都支援 ldap 存取。

2. 使用 shell 的程式名稱也是寫在 ldap 資料上。若資料都在 ldap db 了,那需要設定為 nologin 也只是改 ldap db 那邊就可以了。

==
I am kenduest - 小州

my website: http://kenduest.sayya.org/