主題: [筆記]LDAP服務實做筆記! (二)

[日京三子]

歡迎轉載 . 轉載前請先以電子郵件或者書面方式告知. 如果有任何修改請來信通知小弟, 不得作為商業用途(包含轉變為任何形式的講義,書籍片段, 網頁文章, 或者教材, 本人會保留任何形式的訴訟權利), 轉載時並請保持此一宣告.

作者: 日京三子 <a843433{at}yahoo{dot}com>

在第一篇裡面, 小弟告訴大家, 如何建立一個LDAP系統的根本. 這次, 就把目標放在跟PAM系統, 包含Sendmail 與 dovecot 這兩部分.


在第一篇的時候, 已經告訴大家如何建立一個基礎的LDAP系統. 基本上, 如果你很完整的按照小弟的步驟匯入LDAP server, 並且也用ldapsearch檢查過資料內容, 那應該是OK了才對.

小弟建立了一個使用者, 他"長"的像下面這樣:

代碼: [選擇]

dn: uid=abcd,ou=People,dc=your,dc=com
uid: abcd
cn: abcd
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}$1$ahz3dh5h$TrjekyZu/y5yKXwud5zWO/
shadowLastChange: 12481
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 514
gidNumber: 502
homeDirectory: /home/abcd (沒錯! 就是在第一篇裡面的範例人物, abcd! )

接著, 我們要讓這個abcd能夠像一般利用useradd所新增的使用者一樣, 可以透過LDAP服務, 登入到Linux系統. 想當然爾, 第一步就是結合PAM系統! 首先, 先修改 /etc/openldap/ldap.conf 這個檔案:

代碼: [選擇]

HOST 127.0.0.1
BASE dc=your,dc=com
URI     ldap://127.0.0.1

特別注意的是,

HOST一定是你的正確IP, 或者是能透過DNS系統能夠找到的網域主機名稱. 如果這地方設定錯誤, 或者是一個不正確的IP, LDAP系統就跑不起來 ! 如果怕死, 請跟我一樣, 設定為127.0.0.1, 這樣最保險 :lol:

BASE 的設定值 則一定要跟你在 /etc/openldap/sldap.conf 裡面這段的設定相同:

代碼: [選擇]

suffix          "dc=your,dc=com"

至於URI ldap://127.0.0.1 這部分的描述, 很抱歉, 小弟只是按照該檔案的說明照抄的, 並沒有去深刻的瞭解是甚麼作用, 還請知道的朋友告知一下 ^^"[/list]






再來, 是修改 /etc/ldap.conf 這個檔案:

代碼: [選擇]

host 127.0.0.1
base dc=your,dc=com

此時, 請檢查一下, 因為我們要利用的是PAM系統, 而我們需要的pam_ldap模組是屬於nss_ldap的一部份, 所以請你用這個指令檢查一下(RedHat系的就不用檢查了, 一定有! ):

代碼: [選擇]

rpm -qa|grep nss_ldap像我的RedHat Fedora Core 2的版本裡面, 內建的是這個模組

代碼: [選擇]

nss_ldap-217-1

當上面的部分修改完, 檢查OK的時候, 請深呼吸, 並先把/etc/pam.d/system-auth複製一份到其他地方. 因為這是系統最重要的檔案, 如果你改錯了, 很抱歉, 系統就不會讓你登入了(除了進入單機救援模式之外...但太嚴重也會讓Single mode起不來, 必須靠救援磁片或開機光碟來搶救, 千萬要小心!).... 在複製備份之後, 請把/etc/pam.d/system-auth修改成像下面一樣:

代碼: [選擇]

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/pam_winbind.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
#       ----------------------------
auth        sufficient    /lib/security/$ISA/pam_ldap.so use_first_pass
#       ----------------------------


auth        required      /lib/security/$ISA/pam_deny.so

account     required      /lib/security/$ISA/pam_unix.so
#       ----------------------------
account     [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] /lib/security/$ISA/pam_ldap.so
#       ----------------------------

password    required      /lib/security/$ISA/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow

#       ----------------------------
password    sufficient    /lib/security/$ISA/pam_ldap.so use_authtok
#       ----------------------------

password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so
#       ----------------------------
session     optional      /lib/security/$ISA/pam_ldap.so
中間有四個地方被新增進來(看到pam_ldap.so就是新增的啦~), 再次叮嚀, 要注意, 要小心, 有大小寫之分, 空格跟TAB沒關係. 但小心打錯字!

最後的一個部分, 就是修改系統認證的順序. 請開啟/etc/nsswitch.conf,找到符合描述的片段並修改成像下面這樣

代碼: [選擇]

passwd:     ldap files
shadow:     ldap files
group:      ldap files在這步驟完成之後, 請再次確認與檢查 /etc/pam.d/system-auth這個檔案, 確保沒有問題, 然後重新開機....

代碼: [選擇]


#---------------------------------------#

                  驚險刺激的冒險....

                  驚心動魄的期待....


                  電腦順利重新

                          ^_^"

#---------------------------------------#


過了幾分鐘的開機等候, 應該很順利的成功開機, 並且在那邊等著你輸入帳號密碼. 請嘗試一下我們所建立的abcd與他的密碼. 按照常理來說, 你應該可以快樂的登入系統. 但會遇到下面這個訊息:

代碼: [選擇]

No directory /home/abcd!
Logging in with home = "/".
-bash-2.05b$(註)這是因為我們並沒有為這個使用者建立家目錄所引發的系統警告. 請做下面三行指令以建立abcd的家目錄:

代碼: [選擇]

mkdir /home/abcd
chown 514.502 /home/abcd
chmod 700 /home/abcd順便, 為了讓這個abcd使用者能收發信件, 所以我順手幫他建立信箱:

代碼: [選擇]

touch /var/spool/mail/abcd
chown 514.mail /var/spool/mail/abcd


這一切都OK之後, 再次登入時應該就不會有系統警告了! 此時也可以快樂的利用這個abcd帳號進行收信(當然, 前提是你有正確的設定Sendmail服務!), 但發信的部分會遭遇到問題! 請編輯/etc/dovecot.conf, 並修改這幾個標題的敘述如下面所示:

代碼: [選擇]

protocols = imap pop3
...
...
auth_userdb = ldap /etc/dovecot-ldap.conf
auth_passdb = ldap /etc/dovecot-ldap.conf
(大約分別在15, 384, 與400行的地方)

並且, 自己新增一個檔案, 為/etc/dovecot-ldap.conf, 內容如下:

代碼: [選擇]

hosts = 127.0.0.1

dn = uid=root,ou=People,dc=your,dc=com

# Password for LDAP server
dnpass = your-dn-root-passwd

# LDAP protocol version to use. Likely 2 or 3.
ldap_version = 3

# LDAP base
base = dc=your,dc=com在重新執行dovecot之後, 去看看 /var/log/message 裡面有沒有任何的錯誤訊息

當然, 你應該也會像我一樣, 採用sasl認證機制, 你也會遇到像我一樣的問題, 請看小弟發問的問題






如果一切都很順利,  恭喜! 你已經完成 LDAP + Mail 的艱難任務了!






#--------------------------------------#
註: 事實上, 我沒遇到那個錯誤訊息. 我是從Linux網路管理實務(施威銘出版社 著)P4-38上面抄來的.
#--------------------------------------#

本篇資料來源:

1. Linux網路管理實務(施威銘出版社 著), ISBN 957-442-111-2

2.

www.idealx.org[/list]

-------------
期待 samba 篇吧 ^O^

[damon]

1.發信跟dovecot有甚麼關係？
2.dovecot還是有支援pam的，不需要自己在這樣搞

[天線]

歡迎轉載 . 轉載前請先以電子郵件或者書面方式告知. 如果有任何修改請來信通知小弟, 不得作為商業用途(包含轉變為任何形式的講義,書籍片段, 網頁文章, 或者教材, 本人會保留任何形式的訴訟權利), 轉載時並請保持此一宣告.

作者: 日京三子 <a843433{at}yahoo{dot}com>


接著, 我們要讓這個abcd能夠像一般利用useradd所新增的使用者一樣, 可以透過LDAP服務, 登入到Linux系統. 想當然爾, 第一步就是結合PAM系統! 首先, 先修改 /etc/openldap/ldap.conf 這個檔案:

代碼: [選擇]

HOST 127.0.0.1
BASE dc=your,dc=com
URI     ldap://127.0.0.1

特別注意的是,

HOST一定是你的正確IP, 或者是能透過DNS系統能夠找到的網域主機名稱. 如果這地方設定錯誤, 或者是一個不正確的IP, LDAP系統就跑不起來 ! 如果怕死, 請跟我一樣, 設定為127.0.0.1, 這樣最保險 :lol:

BASE 的設定值 則一定要跟你在 /etc/openldap/sldap.conf 裡面這段的設定相同:

代碼: [選擇]

suffix          "dc=your,dc=com"

至於URI ldap://127.0.0.1 這部分的描述, 很抱歉, 小弟只是按照該檔案的說明照抄的, 並沒有去深刻的瞭解是甚麼作用, 還請知道的朋友告知一下 ^^"[/list]

------------
期待 samba 篇吧 ^O^

/etc/openldap/ldap.conf
這個設定檔並非提供slapd使用,所以有沒有設定好並不會影響slapd的啟動
slapd 啟動只會去查詢 slapd.conf

這個設定檔是提供slapdadd.......這類工具使用的
免除下指令時還要打一大堆參數

[日京三子]

話說, 各位前輩提點了之後, 經過用力的翻書, 我找到正確設定pam系統的設定方法......

就smtp方面, 請打開/etc/pam.d/smtp, 並修改為下面的樣子:

代碼: [選擇]

auth    sufficient      pam_ldap.so
auth       required     pam_stack.so service=system-auth
account sufficient      pam_ldap.so
account    required     pam_stack.so service=system-auth

如果要讓ldap支援ftp程式, 以vsftpd為例, 請打開 /etc/pam.d/vsftpd, 修改為下面這樣:

代碼: [選擇]

auth       required     pam_listfile.so item=user sense=deny file=/etc/vsftpd.ftpusers onerr=succeed
auth    sufficient      pam_ldap.so
auth       required     pam_stack.so service=system-auth
auth       required     pam_shells.so
account sufficient      pam_ldap.so
account    required     pam_stack.so service=system-auth
session    required     pam_stack.so service=system-auth至於大家愛用的proftpd, 很抱歉, 小弟不知道怎麼設定, 還希望各位前輩指點一下^^"

[cktan981212]

i had follow the exact setting in /etc/pam.d/system-auth

but when i try to login using the account in LDAP, i can't do that!!
(lucky i still can login as root).
when use outlook to receive mails (my ipop is dovecot), i always getting passwd error... this is the maillog:


Nov 15 17:33:44 mail1 dovecot-auth: PAM (system-auth) no module name supplied
Nov 15 17:33:44 mail1 dovecot-auth: PAM unable to dlopen(<*unknown module path*>)
Nov 15 17:33:44 mail1 dovecot-auth: PAM [dlerror: <*unknown module path*>: cannot open shared object file: No such file or directory]
Nov 15 17:33:44 mail1 dovecot-auth: PAM adding faulty module: <*unknown module path*>
Nov 15 17:33:44 mail1 dovecot-auth: PAM (system-auth) illegal module type: system_err=ignore]
Nov 15 17:33:44 mail1 dovecot-auth: PAM pam_parse: expecting return value; [.../lib/security/$ISA/pam_ldap.so]
Nov 15 17:33:44 mail1 dovecot-auth: PAM (system-auth) no module name supplied
Nov 15 17:33:44 mail1 pop3-login: Disconnected [192.168.1.254]

another thing is my pam_ldap.so is locate in /lib/security/, why the path is system-auth have to use as below? can i just change it to my path?

session     optional      /lib/security/$ISA/pam_ldap.so
[/quote]

[日京三子]

檢查你檔案的路徑. 因為你沒有把設定檔案貼上來, 所以光這樣是無法找到原因的.....

[cktan981212]

now ok ready...
i forgot to do the authconfig, another thing is i must put this posixAccount as objectClass as well

thanks

[cktan981212]

日京三子
do u know how to do postfix+ldap+quota ??
postfix -> LDAP -> quota

i want to control the quota for all of the users by LDAP.

thanks

[日京三子]

日京三子
do u know how to do postfix+ldap+quota ??
postfix -> LDAP -> quota

i want to control the quota for all of the users by LDAP.

thanks

道理一樣, 如果你能正常收發信件,應該沒甚麼困難的才對...

[cktan981212]

which option should i use in /etc/postfix/main.f

my main.cf:

local_transport = virtual
virtual_mailbox_base = /
virtual_mailbox_maps = ldap:ldapvirtual
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_minimum_uid = 500
#virtual_mailbox_limit = 0
ldapvirtual_server_host = 127.0.0.1
ldapvirtual_server_port = 389
ldapvirtual_bind = yes
ldapvirtual_bind_dn = cn=Manager, dc=example, dc=com
ldapvirtual_bind_pw = 1234
ldapvirtual_search_base = ou=accounts, ou=postfix, dc=example, dc=com
ldapvirtual_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(|(AccountStatus=active)(accountStatus=shared)))
ldapvirtual_result_attribute = mailMessageStore




mydestination = $myhostname, localhost.$mydomain, localhost, ldap:acceptdomains
acceptdomains_server_host = 127.0.0.1
acceptdomains_server_port = 389
acceptdomains_bind = yes
acceptdomains_bind_dn = cn=Manager,  dc=example, dc=com
acceptdomains_bind_pw = 1234
acceptdomains_search_base = ou=accounts, ou=postfix, dc=example, dc=com
acceptdomains_query_filter = (associatedDomain=*)
acceptdomains_result_attribute = associatedDomain

virtual_maps = ldap:ldapalias
ldapalias_server_host = 127.0.0.1
ldapalias_server_port = 389
ldapalias_bind = yes
ldapalias_bind_dn = cn=Manager, dc=example, dc=com
ldapalias_bind_pw = 1234
ldapalias_search_base = ou=accounts, ou=postfix, dc=example, dc=com
ldapalias_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(|(AccountStatus=active)(AccountStatus=shared)))
ldapalias_result_attribute = mail

message_size_limit = 5242880

virtual_mailbox_limit_maps = ldap:ldapquota
ldapquota_server_host = 127.0.0.1
ldapquota_server_port= 389
ldapquota_bind_dn = cn=Manager, dc=example ,dc=com
ldapquota_bind_pw = 1234
ldapquota_search_base = ou=accounts, ou=postfix, dc=example, dc=com
ldapquota_query_filter = ((objectClass=posixAccount)(mail=%s))(AccountStatus=active))
ldapquota_result_attribute = mailQuotaSize
ldapquota_bind = yes
ldapquota_version = 3
ldapquota_debuglevel = 0


but this virtual_mailbox_limit_maps  seen not a option in main.cf

thanks

[日京三子]

你做錯一件事情.....


有了輪子, 何必自己修改postfix來適應LDAP? 只要你postfix本身可以正常運作, 只要修改相對應的pam系統, 就OK了, 這些修改都是多餘的!

[cktan981212]

but i need quota also.....

[cktan981212]

你做錯一件事情.....


有了輪子, 何必自己修改postfix來適應LDAP? 只要你postfix本身可以正常運作, 只要修改相對應的pam系統, 就OK了, 這些修改都是多餘的!

but i need quota also.... are u going to ask me do quota manually??
or maybe u got the solution for this?

thanks

[日京三子]

but i need quota also.... are u going to ask me do quota manually??
or maybe u got the solution for this?

thanks

只要你能正常且順利的跑LDAP服務, 讓這些帳號能登入系統(就算是nologin也算) 那麼, 系統既然已經認為這是系統帳號了, 你還有甚麼不會設定的地方呢??

就按照一般的quota設定就好啦~~

[cktan981212]

i want the quota setting refer to ldap as well....
the mail server have to support also..
normally people will so either:
1) setup the virtual_mailbox_limit_maps..... but my postfix doesn't have this option (my one is running postfix 2.1.5).
2) using maildrop to check the quota in ldap.... now trying......

只要你能正常且順利的跑LDAP服務, 讓這些帳號能登入系統(就算是nologin也算) 那麼, 系統既然已經認為這是系統帳號了, 你還有甚麼不會設定的地方呢??

就按照一般的quota設定就好啦~~

the normal setting means wat?  manually put in edquota user .............
or maybe u can show my the way

thanks

[日京三子]

i

只要你能正常且順利的跑LDAP服務, 讓這些帳號能登入系統(就算是nologin也算) 那麼, 系統既然已經認為這是系統帳號了, 你還有甚麼不會設定的地方呢??

就按照一般的quota設定就好啦~~

the normal setting means wat?  manually put in edquota user .............
or maybe u can show my the way

thanks

簡單的說，一般我們人類為了辨識方便，都會這麼設定:

equota    日京三子

但，對機器來說，其實是這樣的:

equota    uid

所以，你可以改用你在ldif裡面設定的uid來設定看看．這就是我說的，『按照一般的quota設定就好啦』．

[cktan981212]

i had patch the VDA to postfix and now, i'm able to control the quota through LDAP.
Thanks for your reply.....

yeah, any one had do the web/internet cluster system before?? because i need some information regards this.

thanks

[cktan981212]

Quick Reply ModFC２ ＋ Postfix + Dovecot Imap + Openldap + Mailscanner + SNMP + Clamav ＋ Squirrelmail + SpamAssassin + MailQuota + SMTP Authentication

这是小弟刚刚完成的系统啦。。。已经跑了几天，一切都还好。
有一个问题是小弟要如何设定login 是 with domain name.

现在的login都是user name 而已。 希望能够设成 user@domain 来登录。

谢谢

[日京三子]

Quick Reply ModFC２ ＋ Postfix + Dovecot Imap + Openldap + Mailscanner + SNMP + Clamav ＋ Squirrelmail + SpamAssassin + MailQuota + SMTP Authentication

这是小弟刚刚完成的系统啦。。。已经跑了几天，一切都还好。
有一个问题是小弟要如何设定login 是 with domain name.

现在的login都是user name 而已。 希望能够设成 user@domain 来登录。

谢谢

你回頭想想，我們是用ldif那個欄位作為帳號檢查的？ 又或者，找個適合的client program來登入？

[cktan981212]

of course we are using ldif for account checking..... so......
is that possible we put uid = abc@domain?
but i know that we can't put @ in uid field.

so, some one tell me out uid=abc.domain instead of using @ !!
i'm not sure whether is workable......

my supervisor ask me is better don't use abc.domain format because it will cause a lot of problems expecially when try to export the ldif and import back.... there will be a lot of thing have to do.

sorry to use english because i don't have chinese input in my office.

[日京三子]

of course we are using ldif for account checking..... so......
is that possible we put uid = abc@domain?
but i know that we can't put @ in uid field.

so, some one tell me out uid=abc.domain instead of using @ !!
i'm not sure whether is workable......

my supervisor ask me is better don't use abc.domain format because it will cause a lot of problems expecially when try to export the ldif and import back.... there will be a lot of thing have to do.

sorry to use english because i don't have chinese input in my office.

如果是這樣，那就只剩下一個方法，山不轉路轉，換個客戶端登入程式．如果你是XP系的，可以考慮pgina套件....

或者，把Openldap丟掉，用微軟的AD-DC，如果這麼堅持的話...

[cktan981212]

We will going to integrate all servers with freeradius... so forget about the windows.
My company will going to be like ISP as well.

so......

[日京三子]

My company will going to be like ISP as well.

我看不懂這句，能不能請你解釋一下？

[cktan981212]

i mean my company is going to be Internet Service Provider like hinet....
the mail server will integrated with radius server.

[日京三子]

i mean my company is going to be Internet Service Provider like hinet....
the mail server will integrated with radius server.

你的公司是擔任ISP!!

那..... 你要不要找專門的公司團隊來幫你解決問題？
-----
印象中，radius 在多人時負載滿大的，很吃資源；你又加上會很忙碌的Mail service，那.... 是不是該經常覆頌『南無阿彌陀佛』？

[cktan981212]

we will setup all the system ourself,

we will going to purchase a high end server once every thing is running well. don't worry about the resources.

[leiw]

想請問之後在Linux useradd 是不是/etc/passwd 和 /etc/shadow 就不會再有record ? 全都加到LDAP ?

如果是全都加到LDAP, 那麼可否限制某位使用者在/etc/passwd 用/sbin/nologin不能使用Putty登入Linux ?

Thank

[Darkhero]

想請問之後在Linux useradd 是不是/etc/passwd 和 /etc/shadow 就不會再有record ? 全都加到LDAP ?

如果是全都加到LDAP, 那麼可否限制某位使用者在/etc/passwd 用/sbin/nologin不能使用Putty登入Linux ?

Thank

putty ?...你是說用 ssh 吧....

這種管理用 pam 來做禁止登入名單或是在 sshd_config 中做...
應該跟 ldap 沒關係...

[leiw]

看過鳥哥我ssh文章, sshd_config裡有 #UserLogin no, 但我的CentOS4.2

沒有這個, 常試過加進去, 但不能restart...




Thank

[kenduest]

想請問之後在Linux useradd 是不是/etc/passwd 和 /etc/shadow 就不會再有record ? 全都加到LDAP ?
如果是全都加到LDAP, 那麼可否限制某位使用者在/etc/passwd 用/sbin/nologin不能使用Putty登入Linux ?
Thank

1. 基本上標準的 useradd 等程式根本不支援 ldap db 讀寫存取，所以你得使用其他專屬工具。若是使用 suse linux 的話，本身的使用者管理程式都是另外 project 成果，所以程式都支援 ldap 存取。

2. 使用 shell 的程式名稱也是寫在 ldap 資料上。若資料都在 ldap db 了，那需要設定為 nologin 也只是改 ldap db 那邊就可以了。

==