https://opennet.ru/openforum/vsluhforumID1/93912.html Вобщем настроил на сервере контроллер. <br>Samba 3.6<br>Openldap 2.4 клиент/сервер<br>nss_ldap<br>pam_ldap из портов. <br>Как контроллер работает все нормально. Пользователей видит, все хорошо. Встала задача, добавить авторизацию через pam_ldap. Нужно в частности для ftp сервера proftpd. <br>У меня стоит версия 1.3.4b судя по всему прямой поддежки лдап авторизации у нее нет, видимо убрали в этой версии. <br>Вобщем проблема в настройке pam_ldap. Никак не хочет работать. Вот конфиги имеющие отношение к проблеме. <br><br>/usr/local/etc/openldap/slapd.conf<br>[code]<br>include /usr/local/etc/openldap/schema/core.schema<br>include /usr/local/etc/openldap/schema/cosine.schema<br>include /usr/local/etc/openldap/schema/inetorgperson.schema<br>include /usr/local/etc/openldap/schema/misc.schema<br>include /usr/local/etc/openldap/schema/nis.schema<br>include /usr/local/etc/openldap/schema/openldap.schema<br>include /usr/local/etc/openldap/schema/samba.schema<br><br>pidfile /var/run/openldap/sla https://opennet.ru/openforum/vsluhforumID1/93912.html#21 Fri, 19 Oct 2012 09:13:56 GMT &gt; И еще вот что обнаружил <br>&gt; Авторизация не проходит не по логину, не по фтп если логин создан <br>&gt; smbpasswd -a. Хотя в базе все нормально, показывается что пароль SSHA, <br>&gt; но если я в базе меняю пароль через LDAP admin так <br>&gt; же кодируя его по SSHA то все начинает работать.<br>&gt; Что то не так со скриптами ldapcripts? куда можно посмотреть? что проверить? <br><br>я так понимаю, что пароли просто в разном формате. кроме того - я не знаю salt в самбовском<br>пароле есть или нет. <br><br><br> https://opennet.ru/openforum/vsluhforumID1/93912.html#20 Wed, 17 Oct 2012 08:37:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt; же кодируя его по SSHA то все начинает работать.<br>&gt;&gt; Что то не так со скриптами ldapcripts? куда можно посмотреть? что проверить?<br>&gt; А вот авторизация через самбу и доступ к шарам работает нормально без <br>&gt; всякой замены пароля через LDAP Admin. Заметил что строка с <br>&gt; паролем, которую генерирует smbpasswd отличается от той которую генерирует LDAP <br>&gt; Admin. Тем неменее авторизация в домене и доступ к шарам проходит <br>&gt; нормально как на сгенерированом изначально пароле, так и после обновления его <br>&gt; через LDAP Admin. Что как то странно.<br>&gt; Может кто нибудь пояснить ситуацию и как победить? Не очень охото каждого <br>&gt; пользователя через LDAP admin править.<br><br>Такая ситуация независимо от мтодов шифрования. Пробовал натроить и лдапсервер и клиента на crypt и на md5 и на ssha. Ситуация везде одинаковая. Пока не перепишешь пароль в базе через лдап админ, используя тот же метод шифрования авторизация через pam проходить не хочет. Подскажите куда копать. <br><br> https://opennet.ru/openforum/vsluhforumID1/93912.html#19 Wed, 17 Oct 2012 06:39:01 GMT &gt; И еще вот что обнаружил <br>&gt; Авторизация не проходит не по логину, не по фтп если логин создан <br>&gt; smbpasswd -a. Хотя в базе все нормально, показывается что пароль SSHA, <br>&gt; но если я в базе меняю пароль через LDAP admin так <br>&gt; же кодируя его по SSHA то все начинает работать.<br>&gt; Что то не так со скриптами ldapcripts? куда можно посмотреть? что проверить? <br><br>А вот авторизация через самбу и доступ к шарам работает нормально без всякой замены пароля через LDAP Admin. Заметил что строка с паролем, которую генерирует smbpasswd отличается от той которую генерирует LDAP Admin. Тем неменее авторизация в домене и доступ к шарам проходит нормально как на сгенерированом изначально пароле, так и после обновления его через LDAP Admin. Что как то странно. <br>Может кто нибудь пояснить ситуацию и как победить? Не очень охото каждого пользователя через LDAP admin править. <br> https://opennet.ru/openforum/vsluhforumID1/93912.html#18 Wed, 17 Oct 2012 06:07:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt; proftpd <br>&gt;&gt; AuthOrder <br>&gt;&gt; <br>&gt;&gt; mod_auth_pam.c* mod_auth_unix.c <br>&gt;&gt; ?<br>&gt; Все заработало. Спасибо большое всем кто помогал. Еще один ньюанс, ну по <br>&gt; крайней мере у меня так. ftp доступ не работает, пока у <br>&gt; пользователя стоит <br>&gt; loginShell /usr/bin/nologin <br>&gt; как только ставишь какой то шел, то начинает работать.<br><br>либо директива RequireValidShell в /etc/proftpd.conf,<br>либо где-то прописано в pam<br> https://opennet.ru/openforum/vsluhforumID1/93912.html#17 Wed, 17 Oct 2012 05:24:36 GMT &gt; А у вас <br>&gt; DefaultRoot /samba/www/ wwwuser <br>&gt; работает на ldap логинах? У меня почему то нет, при входе забрасывает <br>&gt; в домашний каталог. Как будто вообще не учитывает эту директиву. С <br>&gt; правами файловой сисмтему все нормально, на каталог выставленны правильно.<br><br>Разобрался с этим вопросом. Просто там в DefaultRoot не пользователь указывается а группа. Для юникс ползователей по умолчанию создается одноименная группа, поэтому все работает. А тут надо создавать в ручную. Так что с этим понятно. <br><br><br> https://opennet.ru/openforum/vsluhforumID1/93912.html#16 Wed, 17 Oct 2012 05:00:13 GMT &gt;[оверквотинг удален]<br>&gt; PersistentPasswd <br>&gt; off <br>&gt; AuthPAM <br>&gt; <br>&gt; on <br>&gt; AuthPAMConfig <br>&gt; proftpd <br>&gt; AuthOrder <br>&gt; <br>&gt; mod_auth_pam.c* mod_auth_unix.c <br><br>А у вас <br>DefaultRoot /samba/www/ wwwuser <br>работает на ldap логинах? У меня почему то нет, при входе забрасывает в домашний каталог. Как будто вообще не учитывает эту директиву. С правами файловой сисмтему все нормально, на каталог выставленны правильно. <br> <br><br> https://opennet.ru/openforum/vsluhforumID1/93912.html#15 Wed, 17 Oct 2012 02:31:03 GMT И еще вот что обнаружил<br>Авторизация не проходит не по логину, не по фтп если логин создан smbpasswd -a. Хотя в базе все нормально, показывается что пароль SSHA, но если я в базе меняю пароль через LDAP admin так же кодируя его по SSHA то все начинает работать. <br>Что то не так со скриптами ldapcripts? куда можно посмотреть? что проверить? <br> https://opennet.ru/openforum/vsluhforumID1/93912.html#14 Wed, 17 Oct 2012 00:56:42 GMT &gt;[оверквотинг удален]<br>&gt; в этом случае ошибка это нормально - admin в соответствии с acl <br>&gt; не имеет доступа <br>&gt; к userpassword.<br>&gt; теперь по делу. в proftpd.conf прописано что-то типа <br>&gt; AuthPAMConfig <br>&gt; proftpd <br>&gt; AuthOrder <br>&gt; <br>&gt; mod_auth_pam.c* mod_auth_unix.c <br>&gt; ?<br><br>Все заработало. Спасибо большое всем кто помогал. Еще один ньюанс, ну по крайней мере у меня так. ftp доступ не работает, пока у пользователя стоит <br>loginShell /usr/bin/nologin<br>как только ставишь какой то шел, то начинает работать. <br> https://opennet.ru/openforum/vsluhforumID1/93912.html#13 Tue, 16 Oct 2012 12:40:16 GMT поставил уже ради интереса proftpd. у меня авторизация по pam заработала в такой<br>конфигурации:<br><br><br>PersistentPasswd off<br>AuthPAM on<br>AuthPAMConfig proftpd<br>AuthOrder mod_auth_pam.c* mod_auth_unix.c<br>