Je cherche à utiliser openLDAP, et j'ai un gros souci avec openLDAP :
j'arrives pas à me logger avec un utilisateur existant dans l'annuaire.
J'obtient toujours la réponse : "Utilisateur inconnu".
Quand je fais getent passwd en tant que root, je ne vois pas les
utilisateurs LDAP, seulement ceux du fichier /etc/passwd. Même chose our
getent groups.
Par contre, quand je fais getent passwd (ou groups) en tant que simple
utilisateur, je vois les utilisateurs et les groupes de l'annuaire en plus
de ceux des fichiers.
Pourquoi donc un simple utilisateur arrive à faire des choses que root ne
peut pas faire ?
/etc/ldap.conf :
# le serveur ldap doit être résolvable sans ldap
host 127.0.0.1
# La racine de l'annuaire
base dc=atatorus,dc=ata
# Le nom pour lier le serveur avec l'ID de l'utilisateur effectif est root
# Le mot de passe doit être dans /etc/ldap.secret, mode 0600
rootbinddn cn=nssldap,ou=DSA,dc=atatorus,dc=ata
nss_base_passwd dc=atatorus,dc=ata?sub
nss_base_shadow dc=atatorus,dc=ata?sub
nss_base_group ou=Groups,dc=atatorus,dc=ata?one
# Option de sécurité
ssl no
pam_password md5
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Rakotomandimby (R12y) Mihamina
( Fri, 29 Apr 2005 18:14:47 +0200 ) Denis :
Pourquoi donc un simple utilisateur arrive à faire des choses que root ne peut pas faire ?
C'est ce qui se passe en FNS aussi par defaut:
Le root local (sur le client) a des droit nobody sur le serveur de fichier. Pour eviter que le root local puisse tout zigouiller...
Cela dit, tu as suivi un tutoriel ou une documentation pour mettre en place ton LDAP? Laquelle? je sui sa la recherche, moi, de doc en tout genre pour ca...
-- Les serveurs avec 10Mb/s se louent maintenant pour 50 ou 60 Euros par mois! La preuve http://www.google.fr/search?q=serveur+dedie Infogerance de serveur dedie http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
( Fri, 29 Apr 2005 18:14:47 +0200 ) Denis :
Pourquoi donc un simple utilisateur arrive à faire des choses que root ne
peut pas faire ?
C'est ce qui se passe en FNS aussi par defaut:
Le root local (sur le client) a des droit nobody sur le serveur de fichier.
Pour eviter que le root local puisse tout zigouiller...
Cela dit, tu as suivi un tutoriel ou une documentation pour mettre en
place ton LDAP? Laquelle? je sui sa la recherche, moi, de doc en tout
genre pour ca...
--
Les serveurs avec 10Mb/s se louent maintenant pour 50 ou 60 Euros par mois!
La preuve http://www.google.fr/search?q=serveur+dedie
Infogerance de serveur dedie http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Pourquoi donc un simple utilisateur arrive à faire des choses que root ne peut pas faire ?
C'est ce qui se passe en FNS aussi par defaut:
Le root local (sur le client) a des droit nobody sur le serveur de fichier. Pour eviter que le root local puisse tout zigouiller...
Cela dit, tu as suivi un tutoriel ou une documentation pour mettre en place ton LDAP? Laquelle? je sui sa la recherche, moi, de doc en tout genre pour ca...
-- Les serveurs avec 10Mb/s se louent maintenant pour 50 ou 60 Euros par mois! La preuve http://www.google.fr/search?q=serveur+dedie Infogerance de serveur dedie http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Denis
Le how-to que j'utilise est celui d'IdealX pour Samba et LDAP : http://samba.idealx.org/
Rakotomandimby (R12y) Mihamina wrote:
( Fri, 29 Apr 2005 18:14:47 +0200 ) Denis :
Pourquoi donc un simple utilisateur arrive à faire des choses que root ne peut pas faire ?
C'est ce qui se passe en FNS aussi par defaut:
Le root local (sur le client) a des droit nobody sur le serveur de fichier. Pour eviter que le root local puisse tout zigouiller...
Cela dit, tu as suivi un tutoriel ou une documentation pour mettre en place ton LDAP? Laquelle? je sui sa la recherche, moi, de doc en tout genre pour ca...
Le how-to que j'utilise est celui d'IdealX pour Samba et LDAP :
http://samba.idealx.org/
Rakotomandimby (R12y) Mihamina wrote:
( Fri, 29 Apr 2005 18:14:47 +0200 ) Denis :
Pourquoi donc un simple utilisateur arrive à faire des choses que root ne
peut pas faire ?
C'est ce qui se passe en FNS aussi par defaut:
Le root local (sur le client) a des droit nobody sur le serveur de
fichier. Pour eviter que le root local puisse tout zigouiller...
Cela dit, tu as suivi un tutoriel ou une documentation pour mettre en
place ton LDAP? Laquelle? je sui sa la recherche, moi, de doc en tout
genre pour ca...
Le how-to que j'utilise est celui d'IdealX pour Samba et LDAP : http://samba.idealx.org/
Rakotomandimby (R12y) Mihamina wrote:
( Fri, 29 Apr 2005 18:14:47 +0200 ) Denis :
Pourquoi donc un simple utilisateur arrive à faire des choses que root ne peut pas faire ?
C'est ce qui se passe en FNS aussi par defaut:
Le root local (sur le client) a des droit nobody sur le serveur de fichier. Pour eviter que le root local puisse tout zigouiller...
Cela dit, tu as suivi un tutoriel ou une documentation pour mettre en place ton LDAP? Laquelle? je sui sa la recherche, moi, de doc en tout genre pour ca...
Denis
Je cherche à utiliser openLDAP, et j'ai un gros souci avec openLDAP : j'arrives pas à me logger avec un utilisateur existant dans l'annuaire. J'obtient toujours la réponse : "Utilisateur inconnu".
Quand je fais getent passwd en tant que root, je ne vois pas les utilisateurs LDAP, seulement ceux du fichier /etc/passwd. Même chose our getent groups. Par contre, quand je fais getent passwd (ou groups) en tant que simple utilisateur, je vois les utilisateurs et les groupes de l'annuaire en plus de ceux des fichiers. Pourquoi donc un simple utilisateur arrive à faire des choses que root ne peut pas faire ?
J'ai fini par trouver la solution : il faut impérativement laisser une ligne
vide à la fin du fichier /etc/ldap.secret, qui contient le mot de passe pour se connecter à l'annuaire comme administrateur.
Mon simple utilisateur ne pouvait pas lire le fichier /etc/ldap.conf, en lecture pour root exclusivement. Il se connectait donc anonymement. L'annuaire étant en lecture seule pour tout le monde, il pouvait donc y lire les informations.
root pouvait lire /etc/ldap.conf, ainsi que /etc/ldap.secret pour s'identifier. Or, j'ai fini par remarquer, en analysant les trames, que le dernier caractère du mot de passe était absent. root se voyait donc interdire l'accès, car le mot de passe était mauvais. En rajoutant une simple ligne vierge dans /etc/ldap.secret, tout est rentré dans l'ordre !
Denis
Je cherche à utiliser openLDAP, et j'ai un gros souci avec openLDAP :
j'arrives pas à me logger avec un utilisateur existant dans l'annuaire.
J'obtient toujours la réponse : "Utilisateur inconnu".
Quand je fais getent passwd en tant que root, je ne vois pas les
utilisateurs LDAP, seulement ceux du fichier /etc/passwd. Même chose our
getent groups.
Par contre, quand je fais getent passwd (ou groups) en tant que simple
utilisateur, je vois les utilisateurs et les groupes de l'annuaire en plus
de ceux des fichiers.
Pourquoi donc un simple utilisateur arrive à faire des choses que root ne
peut pas faire ?
J'ai fini par trouver la solution : il faut impérativement laisser une ligne
vide à la fin du fichier /etc/ldap.secret, qui contient le mot de passe
pour se connecter à l'annuaire comme administrateur.
Mon simple utilisateur ne pouvait pas lire le fichier /etc/ldap.conf, en
lecture pour root exclusivement. Il se connectait donc anonymement.
L'annuaire étant en lecture seule pour tout le monde, il pouvait donc y
lire les informations.
root pouvait lire /etc/ldap.conf, ainsi que /etc/ldap.secret pour
s'identifier. Or, j'ai fini par remarquer, en analysant les trames, que le
dernier caractère du mot de passe était absent. root se voyait donc
interdire l'accès, car le mot de passe était mauvais. En rajoutant une
simple ligne vierge dans /etc/ldap.secret, tout est rentré dans l'ordre !
Je cherche à utiliser openLDAP, et j'ai un gros souci avec openLDAP : j'arrives pas à me logger avec un utilisateur existant dans l'annuaire. J'obtient toujours la réponse : "Utilisateur inconnu".
Quand je fais getent passwd en tant que root, je ne vois pas les utilisateurs LDAP, seulement ceux du fichier /etc/passwd. Même chose our getent groups. Par contre, quand je fais getent passwd (ou groups) en tant que simple utilisateur, je vois les utilisateurs et les groupes de l'annuaire en plus de ceux des fichiers. Pourquoi donc un simple utilisateur arrive à faire des choses que root ne peut pas faire ?
J'ai fini par trouver la solution : il faut impérativement laisser une ligne
vide à la fin du fichier /etc/ldap.secret, qui contient le mot de passe pour se connecter à l'annuaire comme administrateur.
Mon simple utilisateur ne pouvait pas lire le fichier /etc/ldap.conf, en lecture pour root exclusivement. Il se connectait donc anonymement. L'annuaire étant en lecture seule pour tout le monde, il pouvait donc y lire les informations.
root pouvait lire /etc/ldap.conf, ainsi que /etc/ldap.secret pour s'identifier. Or, j'ai fini par remarquer, en analysant les trames, que le dernier caractère du mot de passe était absent. root se voyait donc interdire l'accès, car le mot de passe était mauvais. En rajoutant une simple ligne vierge dans /etc/ldap.secret, tout est rentré dans l'ordre !