Hallo hat jemand schon mal den OpenLDAP Server von Fedora zum laufen bekommen?
Am Sa, den 25.09.2004 schrieb Frank Büttner um 12:37:
Hallo hat jemand schon mal den OpenLDAP Server von Fedora zum laufen bekommen?
Da bin ich ganz sicher. Die englischsprachige Fedora Liste enthält auch Postings, die das dokumentieren.
Alexander
Na denn werde ich mal schauen. Danke.
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Alexander Dalloz Gesendet: Sonntag, 26. September 2004 16:38 An: Fedora discussions in German Betreff: Re: Fedora 2 und OpenLDAP Server
Am Sa, den 25.09.2004 schrieb Frank Büttner um 12:37:
Hallo hat jemand schon mal den OpenLDAP Server von Fedora zum laufen bekommen?
Da bin ich ganz sicher. Die englischsprachige Fedora Liste enthält auch Postings, die das dokumentieren.
Alexander
-- Alexander Dalloz | Enger, Germany | GPG key 1024D/ED695653 1999-07-13 Fedora GNU/Linux Core 2 (Tettnang) kernel 2.6.8-1.521smp Serendipity 16:37:30 up 5 days, 18:41, load average: 1.38, 1.29, 1.20
On Saturday 25 September 2004 12:37, Frank Büttner wrote:
Hallo hat jemand schon mal den OpenLDAP Server von Fedora zum laufen bekommen?
ja, wieso auch nicht
Jetzt gehts. Unter FC1 ließ er sich nicht einrichten. Keine Ahnung warum es mit FC1 nicht ging. Jetzt muß es nur noch schaffen, das man sich drüber anmelden kann.
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Oliver Wiemer Gesendet: Sonntag, 26. September 2004 20:46 An: Fedora discussions in German Betreff: Re: Fedora 2 und OpenLDAP Server
Frank Büttner schrieb:
Hallo hat jemand schon mal den OpenLDAP Server von Fedora zum laufen bekommen?
Ja, kein Problem. Was ist los bei Dir??
By Olli
-- Fedora-de-list mailing list Fedora-de-list@redhat.com http://www.redhat.com/mailman/listinfo/fedora-de-list
So jetzt habe ich mal wieder etwas zeit gefunden um am LDAP Server zu basteln. Das Login via ldap geht jetzt. Der Haken an der Sache ist, das es leider nur unverschlüsselt geht. Sobald ich die Verschlüsselung einschalte geht nichts mehr. Bei den Klienten habe ich unter system-config-au.. TLS angekreuzt. Das habe ich in conf des Server für die Verschlüsselung eingestellt: TLSCertificateFile /etc/openldap/server.crt TLSCertificateKeyFile /etc/openldap/server.key security ssf=1 update_ssf=256 simple_bind=256
Der Server läst sich starten. Nur Anmelden kann sich jetzt keiner. Was muß ich noch tun?
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Frank Büttner Gesendet: Sonntag, 26. September 2004 22:31 An: 'Fedora discussions in German' Betreff: AW: Fedora 2 und OpenLDAP Server
Jetzt gehts. Unter FC1 ließ er sich nicht einrichten. Keine Ahnung warum es mit FC1 nicht ging. Jetzt muß es nur noch schaffen, das man sich drüber anmelden kann.
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Oliver Wiemer Gesendet: Sonntag, 26. September 2004 20:46 An: Fedora discussions in German Betreff: Re: Fedora 2 und OpenLDAP Server
Frank Büttner schrieb:
Hallo hat jemand schon mal den OpenLDAP Server von Fedora zum laufen bekommen?
Ja, kein Problem. Was ist los bei Dir??
By Olli
-- Fedora-de-list mailing list Fedora-de-list@redhat.com http://www.redhat.com/mailman/listinfo/fedora-de-list
-- Fedora-de-list mailing list Fedora-de-list@redhat.com http://www.redhat.com/mailman/listinfo/fedora-de-list
Am Samstag, den 30.10.2004, 13:43 +0200 schrieb Frank Büttner:
Das Login via ldap geht jetzt. Der Haken an der Sache ist, das es leider nur unverschlüsselt geht. Sobald ich die Verschlüsselung einschalte geht nichts mehr. Bei den Klienten habe ich unter system-config-au.. TLS angekreuzt. Das habe ich in conf des Server für die Verschlüsselung eingestellt: TLSCertificateFile /etc/openldap/server.crt TLSCertificateKeyFile /etc/openldap/server.key security ssf=1 update_ssf=256 simple_bind=256
Hast Du die Berechtigungen auf die Zertifikatsdateien korrekt gesetzt? Zertifikate selbst auch korrekt erzeugt?
cu, thorsten
Ja. Der Zertifikate sind ok. Ich habe sie mit apache überprüft. Da gehen sie. Die Berechtigungen sind ok. Denn er Server läuft ja. Nur das mit dem anmelden geht nicht. Ich habe mal bei den ldapsearch versucht. Da bekomme ich folgendes:
[frank@homer frank]$ ldapsearch -Z -h 192.168.0.1 -x -D "cn=Verwalter,o=netz-von-frank" ldap_start_tls: Connect error (91) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed ldap_bind: Can't contact LDAP server (81) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
So. Was muss ich nun machen, damit er das Server Zertifikat verifizieren kann?
Frank
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Thorsten Scherf Gesendet: Sonntag, 31. Oktober 2004 01:26 An: Fedora discussions in German Betreff: Re: AW: Fedora 2 und OpenLDAP Server
Am Samstag, den 30.10.2004, 13:43 +0200 schrieb Frank Büttner:
Das Login via ldap geht jetzt. Der Haken an der Sache ist, das es leider nur unverschlüsselt geht. Sobald ich die Verschlüsselung einschalte geht nichts mehr. Bei den Klienten habe ich unter system-config-au.. TLS angekreuzt. Das habe ich in conf des Server für die Verschlüsselung eingestellt: TLSCertificateFile /etc/openldap/server.crt TLSCertificateKeyFile /etc/openldap/server.key security ssf=1 update_ssf=256 simple_bind=256
Hast Du die Berechtigungen auf die Zertifikatsdateien korrekt gesetzt? Zertifikate selbst auch korrekt erzeugt?
cu, thorsten
-- Thorsten Scherf tscherf@redhat.com
Mail mal die config vom server und die config des clients.
Am Sonntag, den 31.10.2004, 09:47 +0100 schrieb Frank Büttner:
Ja. Der Zertifikate sind ok. Ich habe sie mit apache überprüft. Da gehen sie. Die Berechtigungen sind ok. Denn er Server läuft ja. Nur das mit dem anmelden geht nicht. Ich habe mal bei den ldapsearch versucht. Da bekomme ich folgendes:
[frank@homer frank]$ ldapsearch -Z -h 192.168.0.1 -x -D "cn=Verwalter,o=netz-von-frank" ldap_start_tls: Connect error (91) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed ldap_bind: Can't contact LDAP server (81) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
So. Was muss ich nun machen, damit er das Server Zertifikat verifizieren kann?
Anbei die Konfiguration des Servers. Und wo finde die die der Klienten? Bei den habe ich nur bei system-config-auth ldap mit tls aktiviert und die Server ip + Kontext angegeben.
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Thorsten Scherf Gesendet: Sonntag, 31. Oktober 2004 17:19 An: Fedora discussions in German Betreff: Re: AW: AW: Fedora 2 und OpenLDAP Server
Mail mal die config vom server und die config des clients.
Am Sonntag, den 31.10.2004, 09:47 +0100 schrieb Frank Büttner:
Ja. Der Zertifikate sind ok. Ich habe sie mit apache überprüft. Da gehen sie. Die Berechtigungen sind ok. Denn er Server läuft ja. Nur das mit dem anmelden geht nicht. Ich habe mal bei den ldapsearch versucht. Da bekomme ich folgendes:
[frank@homer frank]$ ldapsearch -Z -h 192.168.0.1 -x -D "cn=Verwalter,o=netz-von-frank" ldap_start_tls: Connect error (91) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed ldap_bind: Can't contact LDAP server (81) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
So. Was muss ich nun machen, damit er das Server Zertifikat verifizieren kann?
-- Thorsten Scherf tscherf@redhat.com
Hi,
On Saturday 30 October 2004 13:43, Frank Büttner wrote:
So jetzt habe ich mal wieder etwas zeit gefunden um am LDAP Server zu basteln. Das Login via ldap geht jetzt. Der Haken an der Sache ist, das es leider nur unverschlüsselt geht. Sobald ich die Verschlüsselung einschalte geht nichts mehr. Bei den Klienten habe ich unter system-config-au.. TLS angekreuzt. Das habe ich in conf des Server für die Verschlüsselung eingestellt: TLSCertificateFile /etc/openldap/server.crt TLSCertificateKeyFile /etc/openldap/server.key security ssf=1 update_ssf=256 simple_bind=256
Der Server läst sich starten. Nur Anmelden kann sich jetzt keiner. Was muß ich noch tun?
Bei den Zertifikaten ist wichtig, dass es nicht selbst signiert ist. Hat bei mir auch etwas Zeit gekostet den Fehler zu finden - hab hier ebenfalls ldap mit TLS unter FC2 am laufen (und kaempfe noch mit ldap-auth bei apachen...)
Starte den Server mal im Vordergrund mit hohem Debuglevel und poste das Ergebnis.
gruesse, Dirk
Sorry aber welche Nummer ist die höchste bei -d x??
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Dirk Westfal Gesendet: Montag, 1. November 2004 08:44 An: Fedora discussions in German Betreff: Re: AW: Fedora 2 und OpenLDAP Server
Hi,
On Saturday 30 October 2004 13:43, Frank Büttner wrote:
So jetzt habe ich mal wieder etwas zeit gefunden um am LDAP Server zu basteln. Das Login via ldap geht jetzt. Der Haken an der Sache ist, das es leider nur unverschlüsselt geht. Sobald ich die Verschlüsselung einschalte geht nichts mehr. Bei den Klienten habe ich unter system-config-au.. TLS angekreuzt. Das habe ich in conf des Server für die Verschlüsselung eingestellt: TLSCertificateFile /etc/openldap/server.crt TLSCertificateKeyFile /etc/openldap/server.key security ssf=1 update_ssf=256 simple_bind=256
Der Server läst sich starten. Nur Anmelden kann sich jetzt keiner. Was muß ich noch tun?
Bei den Zertifikaten ist wichtig, dass es nicht selbst signiert ist. Hat bei mir auch etwas Zeit gekostet den Fehler zu finden - hab hier ebenfalls ldap mit TLS unter FC2 am laufen (und kaempfe noch mit ldap-auth bei apachen...)
Starte den Server mal im Vordergrund mit hohem Debuglevel und poste das Ergebnis.
gruesse, Dirk
On Monday 01 November 2004 09:57, Frank Büttner wrote:
Sorry aber welche Nummer ist die höchste bei -d x?? -d <level> | ?
This option sets the slapd debug level to <level>. When level is a `?' character, the various debugging levels are printed and slapd exits, regardless of any other options you give it. Current debugging levels are:
-1 enable all debugging 0 no debugging 1 trace function calls 2 debug packet handling 4 heavy trace debugging 8 connection management 16 print out packets sent and received 32 search filter processing 64 configuration file processing 128 access control list processing 256 stats log connections/operations/results 512 stats log entries sent 1024 print communication with shell backends 2048 print entry parsing debugging
Daher wuerde ich mal:
-d 64 um sicherzugehen dass das mit dem SSL auch klappt -d 8 um zu schauen was mit der connection passiert
nehmen. Wenn so der Fehler nicht auffindbar ist, dann mit -d -1 fuer alles
PS: kannst die Debug ausgabe auch per PM schicken - insbes. -1
gruesse, Dirk
Tatsache bei -d 64 kommt wirklich beim Server eine Fehlermeldung so bald ein Klient versucht per TLS zu zugreifen. Die erscheint dann:
slapd starting TLS: can't accept. TLS: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca s3_pkt.c:1052 TLS: can't accept. TLS: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca s3_pkt.c:1052
Ob es hilft wenn ich eine CA bastle und denn ein Zeritikat nutze was von dieser unterzeichnet ist? -----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Dirk Westfal Gesendet: Montag, 1. November 2004 10:56 An: Fedora discussions in German Betreff: Re: AW: AW: Fedora 2 und OpenLDAP Server
On Monday 01 November 2004 09:57, Frank Büttner wrote:
Sorry aber welche Nummer ist die höchste bei -d x?? -d <level> | ?
This option sets the slapd debug level to <level>. When level is a `?' character, the various debugging levels are printed and slapd exits, regardless of any other options you give it. Current debugging levels are:
-1 enable all debugging 0 no debugging 1 trace function calls 2 debug packet handling 4 heavy trace debugging 8 connection management 16 print out packets sent and received 32 search filter processing 64 configuration file processing 128 access control list processing 256 stats log connections/operations/results 512 stats log entries sent 1024 print communication with shell backends 2048 print entry parsing debugging
Daher wuerde ich mal:
-d 64 um sicherzugehen dass das mit dem SSL auch klappt -d 8 um zu schauen was mit der connection passiert
nehmen. Wenn so der Fehler nicht auffindbar ist, dann mit -d -1 fuer alles
PS: kannst die Debug ausgabe auch per PM schicken - insbes. -1
gruesse, Dirk
-- http://www.linux4all.de/livecd
-- Fedora-de-list mailing list Fedora-de-list@redhat.com http://www.redhat.com/mailman/listinfo/fedora-de-list
On Monday 01 November 2004 11:10, Frank Büttner wrote:
Tatsache bei -d 64 kommt wirklich beim Server eine Fehlermeldung so bald ein Klient versucht per TLS zu zugreifen. Die erscheint dann:
slapd starting TLS: can't accept. TLS: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca s3_pkt.c:1052 TLS: can't accept. TLS: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca s3_pkt.c:1052
Ob es hilft wenn ich eine CA bastle und denn ein Zeritikat nutze was von dieser unterzeichnet ist?
Jepp - dann sollte es klappen.
viele Gruesse, Dirk
So hatte leider nix geholfen. Anbei die Ausgabe von -d -1 Ich mußte es leider packen. -----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Dirk Westfal Gesendet: Montag, 1. November 2004 11:16 An: Fedora discussions in German Betreff: Re: AW: AW: AW: Fedora 2 und OpenLDAP Server
On Monday 01 November 2004 11:10, Frank Büttner wrote:
Tatsache bei -d 64 kommt wirklich beim Server eine Fehlermeldung so bald ein Klient versucht per TLS zu zugreifen. Die erscheint dann:
slapd starting TLS: can't accept. TLS: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca s3_pkt.c:1052 TLS: can't accept. TLS: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca s3_pkt.c:1052
Ob es hilft wenn ich eine CA bastle und denn ein Zeritikat nutze was von dieser unterzeichnet ist?
Jepp - dann sollte es klappen.
viele Gruesse, Dirk
On Monday 01 November 2004 12:08, Frank Büttner wrote:
So hatte leider nix geholfen. Anbei die Ausgabe von -d -1 Ich mußte es leider packen.
Ich glaube die fehlt noch das hier in der slapd.conf:
TLSCACertificateFile <filename> Specifies the file that contains certificates for all of the Certificate Authorities that slapd will recognize.
Gruesse, Dirk
Das hatte ich zu letzt eingefügt, nachdem ich mir die CA und ein Zert gebaut hatte.
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Dirk Westfal Gesendet: Montag, 1. November 2004 13:24 An: Fedora discussions in German Betreff: Re: AW: Fedora 2 und OpenLDAP Server
On Monday 01 November 2004 12:08, Frank Büttner wrote:
So hatte leider nix geholfen. Anbei die Ausgabe von -d -1 Ich mußte es leider packen.
Ich glaube die fehlt noch das hier in der slapd.conf:
TLSCACertificateFile <filename> Specifies the file that contains certificates for all of the Certificate Authorities that slapd will recognize.
Gruesse, Dirk
On Monday 01 November 2004 13:32, Frank Büttner wrote:
Mann hab` ich heute eine Leitung - der Server versucht natuerlich das CLIENT Certifikat zu lesen ...
Also brauchst Du das hier:
TLSVerifyClient <level> Specifies what checks to perform on client certificates in an incoming TLS session, if any. The <level> can be specified as one of the following keywords:
never This is the default. slapd will not ask the client for a certificate.
allow The client certificate is requested. If no certificate is provided, the session proceeds normally. If a bad certificate is provided, it will be ignored and the session proceeds normally.
try The client certificate is requested. If no certificate is provided, the session proceeds normally. If a bad certificate is provided, the session is immediately terminated.
Es sei denn Du willst tatsaechlich auf beiden Seiten Certs einzetzen. Aber ich wuerde es sowieso erstmal nur mit einer Seite versuchen.
Gruesse, Dirk
So ich hab es mit TLSVerifyClient never Versucht. Leider auch nix. Kann es sein das ich vielleicht beim Klienten noch was einrichten muß?
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Dirk Westfal Gesendet: Montag, 1. November 2004 13:41 An: Fedora discussions in German Betreff: Re: AW: AW: Fedora 2 und OpenLDAP Server
On Monday 01 November 2004 13:32, Frank Büttner wrote:
Mann hab` ich heute eine Leitung - der Server versucht natuerlich das CLIENT Certifikat zu lesen ...
Also brauchst Du das hier:
TLSVerifyClient <level> Specifies what checks to perform on client certificates in an incoming TLS session, if any. The <level> can be specified as one of the following keywords:
never This is the default. slapd will not ask the client for a certificate.
allow The client certificate is requested. If no certificate is provided, the session proceeds normally. If a bad certificate is provided, it will be ignored and the session proceeds normally.
try The client certificate is requested. If no certificate is provided, the session proceeds normally. If a bad certificate is provided, the session is immediately terminated.
Es sei denn Du willst tatsaechlich auf beiden Seiten Certs einzetzen. Aber ich wuerde es sowieso erstmal nur mit einer Seite versuchen.
Gruesse, Dirk
On Monday 01 November 2004 13:52, Frank Büttner wrote:
So ich hab es mit TLSVerifyClient never Versucht. Leider auch nix. Kann es sein das ich vielleicht beim Klienten noch was einrichten muß?
Hartnaeckig ... ;)
Fragen: versuchst Du den Zugriff auf den Server von derselben Maschine ?
Was passiert wenn Due die 'TLS_REQCERT <level> auch mal in der /etc/openldap/ldap.conf vorgibst ?
Haben sich die Fehlermeldungen geaendert ? Irgendwo ?
Welche Openldap Versionen ?
Gruesse, Dirk*der immernoch glaubt das das Problem loesbar ist*Westfal
So jetzt binn ich schon etwas weiter. Jetzt habe ich die cacert datei auch bei den clienten installiert, und bei dennen in die ldap.conf noch TLS_CACERT /etc/openldap/cacert.pem reingeschrieben. LDAP version openldap-2.1.29-1
Jetzt kommt kein Fehler, aber anmelden kann man sich trotzem noch nicht. Wenn ich jetzt auf denn Klueten per "Hand" ldapsearch -Zx "cn=frank,o=people,o=netz-von-frank" Ausführe bekomme ich jetzt eine ausgaben.
# extended LDIF # # LDAPv3 # base <> with scope sub # filter: cn=frank,o=people,o=netz-von-frank # requesting: ALL #
# search result search: 3 result: 0 Success
# numResponses: 1
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Dirk Westfal Gesendet: Montag, 1. November 2004 14:14 An: Fedora discussions in German Betreff: Re: AW: AW: AW: Fedora 2 und OpenLDAP Server
On Monday 01 November 2004 13:52, Frank Büttner wrote:
So ich hab es mit TLSVerifyClient never Versucht. Leider auch nix. Kann es sein das ich vielleicht beim Klienten noch was einrichten muß?
Hartnaeckig ... ;)
Fragen: versuchst Du den Zugriff auf den Server von derselben Maschine ?
Was passiert wenn Due die 'TLS_REQCERT <level> auch mal in der /etc/openldap/ldap.conf vorgibst ?
Haben sich die Fehlermeldungen geaendert ? Irgendwo ?
Welche Openldap Versionen ?
Gruesse, Dirk*der immernoch glaubt das das Problem loesbar ist*Westfal
So jetzt kann man sich auch per LDAP Anmelden. Jetzt habe ich noch ein paar fragen. 1. was muss man tun, damit die nutzer auch die passwärter per LDAP ändern können denn einversuch dies zu tun bringt den folgenden fehler: LDAP pawword information update failed: unknown error passwd: Permisson denied.
Was muss ich ändern das das geht. Und wie kann ich einfach neue nutzer einfügen?
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Frank Büttner Gesendet: Montag, 1. November 2004 14:52 An: 'Fedora discussions in German' Betreff: AW: AW: AW: AW: Fedora 2 und OpenLDAP Server
So jetzt binn ich schon etwas weiter. Jetzt habe ich die cacert datei auch bei den clienten installiert, und bei dennen in die ldap.conf noch TLS_CACERT /etc/openldap/cacert.pem reingeschrieben. LDAP version openldap-2.1.29-1
Jetzt kommt kein Fehler, aber anmelden kann man sich trotzem noch nicht. Wenn ich jetzt auf denn Klueten per "Hand" ldapsearch -Zx "cn=frank,o=people,o=netz-von-frank" Ausführe bekomme ich jetzt eine ausgaben.
# extended LDIF # # LDAPv3 # base <> with scope sub # filter: cn=frank,o=people,o=netz-von-frank # requesting: ALL #
# search result search: 3 result: 0 Success
# numResponses: 1
Frank Büttner wrote:
Was muss ich ändern das das geht.
Gut gemeinte Ratschläge endlich befolgen, ansonsten landest du wegen Lernunwilligkeit in meinem killfile.
Hier nochmal zur Erinnerung:
Stefan Hoelldampf wrote:
Lies Dir bitte dringend http://got.to/quote/ und http://learn.to/quote/ durch, danke!
Michael Kollender
On Monday 01 November 2004 15:51, Frank Büttner wrote:
So jetzt kann man sich auch per LDAP Anmelden.
Woran lag`s denn noch ?
Jetzt habe ich noch ein paar fragen.
- was muss man tun, damit die nutzer auch die passwärter per LDAP ändern
können denn einversuch dies zu tun bringt den folgenden fehler: LDAP pawword information update failed: unknown error passwd: Permisson denied.
Was muss ich ändern das das geht. Und wie kann ich einfach neue nutzer einfügen?
was steht in /etc/ldap.conf ? sollte so aussehen: host 127.0.0.1 base o=<your organization name>,c=<your country code>
Ausserdem brauchst Du noch ACL`s in der slapd.conf um dem user und dem admin das aendern des PW's zu gestatten: --snip-- access to attr=userPassword by self write by anonymous auth by dn="cn=Verwalter,o=netz-von-frank" write by * none --snip--
Dann: den slapd mit -d -1 laufen lassen und versuchen das Password als Anwender und als Verwalter zu aendern. Auf der Konsole kann man dann mitlesen was passiert :)
Da die ACL Geschichte die Sicherheit ziemlich leicht aushebeln kann, hier der Link zum entsprechenden Kapitel:
http://www.openldap.org/doc/admin22/slapdconfig.html#Access Control
Gruesse, Dirk
Gut Gut das werde ich morgen mal versuchen
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Dirk Westfal Gesendet: Montag, 1. November 2004 18:08 An: Fedora discussions in German Betreff: Re: AW: AW: AW: AW: Fedora 2 und OpenLDAP Server
On Monday 01 November 2004 15:51, Frank Büttner wrote:
So jetzt kann man sich auch per LDAP Anmelden.
Woran lag`s denn noch ?
Ich hatte die IP Adresse statt des Servernamen angegeben.
Jetzt habe ich noch ein paar fragen.
- was muss man tun, damit die nutzer auch die passwärter per LDAP
ändern können denn einversuch dies zu tun bringt den folgenden fehler: LDAP pawword information update failed: unknown error passwd: Permisson denied.
Was muss ich ändern das das geht. Und wie kann ich einfach neue nutzer einfügen?
was steht in /etc/ldap.conf ? sollte so aussehen: host 127.0.0.1 base o=<your organization name>,c=<your country code>
Ausserdem brauchst Du noch ACL`s in der slapd.conf um dem user und dem admin das aendern des PW's zu gestatten: --snip-- access to attr=userPassword by self write by anonymous auth by dn="cn=Verwalter,o=netz-von-frank" write by * none --snip--
Dann: den slapd mit -d -1 laufen lassen und versuchen das Password als Anwender und als Verwalter zu aendern. Auf der Konsole kann man dann mitlesen was passiert :)
Da die ACL Geschichte die Sicherheit ziemlich leicht aushebeln kann, hier der Link zum entsprechenden Kapitel:
http://www.openldap.org/doc/admin22/slapdconfig.html#Access Control
Gruesse, Dirk
-- Dirk Westfal //Admin/RHCE//DGQ/QB live linux cd based on fedora core 2 http://www.linux4all.de/livecd
-- Fedora-de-list mailing list Fedora-de-list@redhat.com http://www.redhat.com/mailman/listinfo/fedora-de-list
On Monday 01 November 2004 14:51, Frank Büttner wrote:
So jetzt binn ich schon etwas weiter. Jetzt habe ich die cacert datei auch bei den clienten installiert, und bei dennen in die ldap.conf noch TLS_CACERT /etc/openldap/cacert.pem reingeschrieben. LDAP version openldap-2.1.29-1 Jetzt kommt kein Fehler, aber anmelden kann man sich trotzem noch nicht. Wenn ich jetzt auf denn Klueten per "Hand" ldapsearch -Zx "cn=frank,o=people,o=netz-von-frank" Ausführe bekomme ich jetzt eine ausgaben.
# extended LDIF # # LDAPv3 # base <> with scope sub # filter: cn=frank,o=people,o=netz-von-frank # requesting: ALL #
Anscheinend darfst Du als 'frank' nix sehen ...
Was passiert, wenn Du folgendes probierst ?
ldapsearch -Zx -D "cn=Verwalter,o=people,o=netz-von-frank" -W
Kommt dann eine Liste der Anwender ?
Gruesse, Dirk
Wenn ich ldapsearch -Zx -D "cn=Verwalter,o=netz-von-frank" -W nehme kommen alle Nutzer.
-----Ursprüngliche Nachricht----- Von: fedora-de-list-bounces@redhat.com [mailto:fedora-de-list-bounces@redhat.com] Im Auftrag von Dirk Westfal Gesendet: Montag, 1. November 2004 16:29 An: Fedora discussions in German Betreff: Re: AW: AW: AW: AW: Fedora 2 und OpenLDAP Server
On Monday 01 November 2004 14:51, Frank Büttner wrote:
So jetzt binn ich schon etwas weiter. Jetzt habe ich die cacert datei auch bei den clienten installiert, und bei dennen in die ldap.conf noch TLS_CACERT /etc/openldap/cacert.pem reingeschrieben. LDAP version openldap-2.1.29-1 Jetzt kommt kein Fehler, aber anmelden kann man sich trotzem noch nicht. Wenn ich jetzt auf denn Klueten per "Hand" ldapsearch -Zx "cn=frank,o=people,o=netz-von-frank" Ausführe bekomme ich jetzt eine ausgaben.
# extended LDIF # # LDAPv3 # base <> with scope sub # filter: cn=frank,o=people,o=netz-von-frank # requesting: ALL #
Anscheinend darfst Du als 'frank' nix sehen ...
Was passiert, wenn Du folgendes probierst ?
ldapsearch -Zx -D "cn=Verwalter,o=people,o=netz-von-frank" -W
Kommt dann eine Liste der Anwender ?
Gruesse, Dirk
de-users@lists.fedoraproject.org