[Linuxtrent] Re: LDAP (a volte ritornano...)

  • From: rghetta <birrachiara@xxxxxx>
  • To: linuxtrent@xxxxxxxxxxxxx
  • Date: Sat, 30 Oct 2010 08:45:44 +0200

On 10/30/2010 12:25 AM, Marco Ciampa wrote:

In ufficio ho un setup simile, usando ldapsam:trusted/editposix.
Non so se ti possa essere utile ...


Può darsi, chiarisci, non sono un'esperto.
ldapsam:trusted è un'ottimizzazione che essenzialmente dice a samba di ignorare nss e prendere i dati degli utenti da ldap. ldapsam:editposix significa grosso modo che samba può direttamente modificare ldap. In pratica non servono gli script smbldap-tools, fa tutto samba nativamente. Le informazioni disponibili sono un po' limitate, ma vedi http://wiki.samba.org/index.php/Ldapsam_Editposix 

Visto che usi gli script, le cose funzionano in modo un po' diverso.


io ho un gruppo di administrators. Se lavoro come utente di quel gruppo,
i comandi che samba dovrebbe dare tramite smbldap-tools fanno casino
(funzionano male). Se li lancio da root, funzionano come si deve. Per
es. getent si blocca. Se lo eseguo da root no.
hmm, per ldap non dovrebbe contare che tu sia root o mazzafazula, visto che ha la sua security. Nel tuo caso, se ti colleghi /sempre/ come cn=admin,dc=lsgalilei,dc=org dovrebbe /sempre/ funzionare tutto. Se il problema si verifica solo se l'utente linux non è root, forse qualche file/comando è accessibile solo da root, o il bind è eseguito diversamente. Hai provato a dare un net rpc rights esplicito su un utente del gruppo admin per vedere se il problema è di privilegi samba ? 


Se osservo LDAP dal phpldapadmin come root vedo tutto.
Se accedo come utente anonimo non vedo alcuni utenti.

Non so se sia legato, ma questo sembra un problema di diritti ldap.


(root)
#getent passwd ---->  elenca tutti gli utenti

(utente nel grupp adm)
#getent passwd ---->  l'elenco si blocca ad un certo punto

Sembrerebbe legato a quello sopra.  Nel tuo libnss-ldap hai specificato
rootbinddn, quindi se sei root nss binda come cn=adminbongabonga,
se non sei root, mancando binddn, binda come anonymous.
Pertanto se non vedi tutti gli utenti da phpldapadmin non li vedrai nemmeno da getent. A livello di slapd.conf mi sembra tutto ok. Non sono sicuro, ma mi pare sia possibile mettere diritti anche nel database. Forse è il tuo caso ? Aumentando il livello di log slapd dovresti vedere cosa succede. Ad esempio se fai id user dovresti vedere la query fatta e anche l'eventuale risultato. 

Ciao,
Riccardo
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Other related posts:

  1. Home
  2. linuxtrent
  3. Archive
  4. 10-2010