[Volgograd] Re: pam & ns

Dwarf linux на dwarf.net.ru
Ср Янв 21 00:50:37 MSK 2004 

On Wed, Jan 21, 2004 at 12:18:10AM +0300, Taras Ablamsky wrote:
> 
> 
> Dwarf пишет:
> >Здравствуйте, Taras.
> 

(см. историю рассылки)
 
> Я думаю что этим как раз занимается nss_ldap
> 
> >/etc/passwd, а в "ou=People,dc=dwarf,dc=net.ru". По фильтру uid=dwarf.
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Я надеюсь у тебя не написано так на самом деле и это просто опечатка.

Это я вообще вспоминал смутно. Я же в винде был, не мог в логи
смотреть. А грузиться ради такой мелочи в Линукс просто времени не
было - спешил.
 
> >То есть, когда я ввожу имя пользователя, pam сразу лезет с запросом
> 
> ns лезет а не pam.

Понятно. Теперь распределение ролей установилось. Группы больше 500
поместить в LDAP, остальные оставить в файлах?
 
> >ldap_search к slapd. Там смотрит пароль и прочие gecos (что за слово
> >странное, ты не знаешь?).
> 
> gecos это поле с информацией о пользователе в файле /etc/passwd
> может даже rfc какой по этому поводу есть, я в свое время не нашел.
> то есть там так:
> 
> account:password:UID:GID:GECOS:directory:shell
> 

(про gecos) 

Понятно, это рудимент.

 
> >Но где берётся список групп, которым принадлежит данный пользователь?
> >Для того, чтобы выяснить, к каким группам принадлежит авторизуемый
> >пользователь, нужно просмотреть ВСЕ группы, и потом сказать, что dwarf
> >принадлежит группам dwarf, rpm, video и пр. Эту информацию pam, как я
> >понимаю, выясняет уже при системных вызовах GET<как-то там, не помню>.
> 
> Ты же сам согласился выше, что PAM занимается только _идентификацией_
> и опять ;(

Не расстраивайся так сильно. До меня ж доходит долго...

 
> Вся беда nscd в том что после каждого чиха в сторону NS его НАДО 
> ПЕРЕЗАПУСКАТЬ!

Уже вырубил. В школе, вероятно, он не особенно нужен.

(пропуск)
 
> Забудь про nscd! Вынеси его вообще из системы. Всеми этими вещами
> занимается NS. Так вот, name service вернет тебе информацию в
> соответствии с /etc/nsswitch.conf (man nsswitch.conf наконец)

Угу, угу. Попутал NS с его кеширующим демоном. Я его дебагил на
предмет того, как же он коннектится к БД ;))
 
> 
> dn: cn=video,ou=Group,dc=example,dc=com,dc=ru
> objectClass: posixGroup
> objectClass: top
> cn: video
> gidNumber: 600
> memberUid: dwarf
> memberUid: taras 
^^^^^^^^^^^^^^^^^^
это, надо полагать, намёк? Хочешь видео
 смотреть с моего компа? ;))))))))))))))))))) В принципе, можно
 будет. Лет через десять... Но не из нашей деревни.

> memberUid: videouser1
> memberUid: videouser2

Ты добавляешь пользователей/группы с помощью скриптов
smbldap-groupadd.pl, smbldap-useradd.pl и прочих? Либо ещё как?

 
> Да ладно, зато я и сам вспомнил. Может все-таки напишем теперь про это
> mini-howto, а то я уже года 2 собираюсь и все никак :(

Действительно, чтобы до конца разобраться, нужно замутить howto. Как
там с Wiki? Пойду примеры howto на вики искать...

У меня, кстати, всё заработало, теперь продумываю резкую миграцию в
школе. 

Вот такой вопрос. У вас есть там подчинённый сервер slapd? Я хочу,
повесить slapd с БД пользователей на два компа. Они будут
реплицировать информацию друг друга. Это думаю, не проблема. Вопрос в
другом. Можно ли клиентам в ldap.conf прописать ДВА сервера. Чтобы, в
случае отсутствия первого в сети пользовали второй? Или это нужно
какими-то нестандартными средствами мутить?

-- 
Best regards,
Dwarf (aka Maxim V. Kovrov).

What is wanted is not the will to believe, but the will to find out,
which is the exact opposite.
		-- Bertrand Russell, "Skeptical Essays", 1928

Подробная информация о списке рассылки Volgograd