LDAP startet nicht?

[HaraldLangner]

Hallo,
ich habe versucht Openldap zu installieren: /usr/ports/net/openldap23-server. (aber noch nie was mit LDAP gemacht)

Nach Konfiguration laut Anweisung: https://www.bsdwiki.de/FreeBSD_-_Samba_PDC bekomme ich ihn aber nicht richtig gestarted um mit samba weiter zu machen. Inzwischen habe ich aber eine Logdatei als /var/log/ldap.log ("loglevel" nicht definiert ist also noch standard).

Was ist: in /etc/rc.conf

slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://mydomain.home/ ldaps://mydomain.home/"'
slapd_sockets="/var/run/openldap/ldapi"

Skript test:
>slaptest
config file testing succeeded

>/usr/local/etc/rc.d/slapd start
==> Starting slapd.
/usr/local/etc/rc.d/slapd status
 ==> slapd is not running. ??

LOGDATEI:
$OpenLDAP: slapd 2.3.41 (Mar 13 2008 20:25:29) $        root@rechner.mydomain.home:/usr/ports/net/openldap23-server/work/openldap-2.3.41/servers/slapd
daemon: bind(6) failed errno=48 (Address already in use)

>ps -ax | grep slapd
"" - nix
Aber - wen ich ihn so starte:
>/usr/local/libexec/slapd

kommt zwar bei 
>/usr/local/etc/rc.d/slapd status  immer noch
 ==> slapd is not running. ??
aber bei ps
>ps -ax | grep slapd
 1496  ??  Is     0:00,02 /usr/local/libexec/slapd

Also so ganz verstehe ich es jetzt nicht mehr über rc.conf scheint er nicht zu starten sonst wohl schon und wenn ich den client teste:

>ldapsearch
==> ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
oder

>ldapsearch -x
==> ldap_bind: Can't contact LDAP server

geht nichts.
Kann mir jemand helfen, was ich da machen soll, oder was man da macht, damit ich ihn zum Laufen kriege?
ist jetzt Mi.19.03.08 22:50 - ich schaue dann morgen wieder rein ob jemand geantwortet hat - Danke...

Bis morgen dann!
Gruß - HL

 

[crotchmaster]

Moin,

zuerst würde ich prüfen, ob ihm etwas an Deiner Konfiguration nicht behagt. Das kannst Du mit

/usr/local/libexec/slapd -Tt

überpüfen. Voraussetzung ist, dass Du den Pfad zur slapd.conf nicht geändert hast, ansonsten den Schalter -f und vollständigen Pfad zusätzlich nutzen. Vielleicht hilft das schon weiter.

Ein Blick in das Logfile kann auch nicht schaden.

Ansonsten das Vorhandensein, die Dateirechte, sowie die User- und Gruppenzugehörigkeiten der in der slapd.conf aufgeführten Dateien und Verzeichnisse checken.

Gruß c.

PS: Ich habe eben Deinen Post nochmal aufmerksam gelesen. Überprüfe doch mal ob es das Verzeichnis /var/run/openldap gibt, und es dem User ldap und der Gruppe ldap gehört. Du könntest auch die Flags in der rc.conf abspecken.
Ich habe bei meinen LDAP-Servern folgendes:

slapd_flags="-s 256 \"-h ldap:/// ldaps:///\" -4"

 

[hessijens]

Heist Dein Ldap Server wirklich mydomain.home? Ich denke hier liegt der Fehler.

Du musst in rc.conf als slapd_flags das Interface angeben an welches LDAP hören soll. Also entweder die IP-Adresse (ldap://12.345.67.89/) oder den Rechnername (ldap(://ldap.mydomain.home/), oder eben alle Verfügbaren (ldap:///).

 

[HaraldLangner]

Hallo,
Danke für die erste Reaktion:
"/usr/local/libexec/slapd -Tt" ist doch "slaptest"

>slaptest
config file testing succeeded

Welche Dateirechte, sowie die User- und Gruppenzugehörigkeiten müssen den angegeben werden.
Ich habe es so eingereichtet:

Datenbankverzeichnis
Das OpenLDAP-Verzeichnis wird im Berkeley Datenbankformat abgelegt
im Verzeichnis:
/var/db/openldap-data

Dieses Verzeichnis und das slurpd-Verzeichnis muss ggf noch von Hand erstellt werden:
>mkdir -p /var/db/openldap-data
>mkdir -p /var/db/openldap-slurp
==> war aber schon da!

Sichern Sie die Dateien und Verzeichnisse des OpenLDAP-Servers ab!
>chown -R ldap:ldap /var/db/openldap-data
>chown -R ldap:ldap /usr/local/etc/openldap/
>chmod -R 0750 /var/db/openldap-data

openldap-slurp-Verzeichnis steht noch auf root:wheel - OK?

>ls -la /var/db/openldap-data

total 25602
drwx------   2 ldap  ldap         512 13 Mär 23:29 .
drwxr-xr-x  13 root  wheel        512 20 Mär 13:32 ..
-rwxr-x---   1 ldap  ldap         921 13 Mär 23:27 DB_CONFIG
-rwxr-x---   1 ldap  ldap       24576 19 Mär 23:09 __db.001
-rwxr-x---   1 ldap  ldap    35872768 19 Mär 23:09 __db.002
-rwxr-x---   1 ldap  ldap   335552512 19 Mär 23:09 __db.003
-rwxr-x---   1 ldap  ldap     2359296 19 Mär 23:09 __db.004
-rwxr-x---   1 ldap  ldap      360448 19 Mär 23:09 __db.005
-rwxr-x---   1 ldap  ldap       24576 19 Mär 23:09 __db.006
-rwxr-x---   1 ldap  ldap        4096 20 Mär 19:58 alock
-rwxr-x---   1 ldap  ldap        8192 13 Mär 22:52 dn2id.bdb
-rwxr-x---   1 ldap  ldap       32768 13 Mär 22:52 id2entry.bdb
-rwxr-x---   1 ldap  ldap    10485760 19 Mär 23:09 log.0000000001

(B) mydomain.home ist ein Synonym für mein LAN. Bei Eingabe von
>host mydomain.home
kommt ==> "mydomain.home has address 192.168.xxx.xxx"
stimmt doch - oder?

Überprüfe doch mal ob es das Verzeichnis /var/run/openldap gibt

Verzeichnis /var/run/openldap ist da

ll -R /var/run/openldap 
/var/run/openldap:
total 6
drwxr-xr-x    3 ldap     ldap          512 Mär 19 17:17 .
drwxr-xr-x    6 root     wheel        1024 Mär 20 15:01 ..
drwxr-x---    2 ldap     ldap          512 Mär 20 19:58 ldapi

/var/run/openldap/ldapi:
total 4
drwxr-x---    2 ldap     ldap          512 Mär 20 19:58 .
drwxr-xr-x    3 ldap     ldap          512 Mär 19 17:17 ..

`
in rc.conf
"Das Interface angeben an welches LDAP" macht man mit LDAP:/// nicht alles auf? Ihc probiere es aber mal.
Und muß da wirklich dieses '%2F' drinn stehen ist nämlich nix anders als '/'
Gruß - Harald

 

[HaraldLangner]

Hi,
also in rc.conf mit:

slapd_enable="YES"
slapd_sockets="/var/run/openldap/ldapi"
slapd_flags='-s 256 "-h ldap:/// ldaps:///" -4'

ist ldap gestartet.
aber mit

...
 slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://vmware.heimnetz/ ldaps://vmware.heimnetz/"'

nicht - "vmware.heimnetz" wurden richtig ersetzt.
auch bei

...
slapd_flags='-s 255 "-h ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap:/// ldaps:///" -4'

habe ich folgende Fehlermeldung in der -log Datei

slapd[2312]: daemon_init: ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap:/// ldaps:///
slapd[2312]: daemon_init: listen on ldapi://%2fvar%2frun%2fopenldap%2fldapi/
slapd[2312]: daemon_init: listen on ldap:///
slapd[2312]: daemon_init: listen on ldaps:///
slapd[2312]: daemon_init: 3 listeners to open...
slapd[2312]: daemon: bind(6) failed errno=48 (Address already in use)
slapd[2312]: slap_open_listener: failed on ldapi://%2fvar%2frun%2fopenldap%2fldapi/
slapd[2312]: slapd stopped.

Was meint er mit "Address already in use"?
Und warum geht "ldapi://%2fvar%2frun%2fopenldap%2fldapi/" nicht wie im Wiki für OpenLdap vorgegeben?

Gruß - HL

 

[hessijens]

Nimm mal bei slapd_flags die "-4" raus, die besagt dass nur auf IPv4 Adressen gelaucht werden soll. Anscheinend geht dann Socks nicht. Ansonsten sehe ich bisher keinen Fehler.

 

[HaraldLangner]

Nimm mal bei slapd_flags die "-4" raus, die besagt dass nur auf IPv4 Adressen gelaucht werden soll. Anscheinend geht dann Socks nicht. Ansonsten sehe ich bisher keinen Fehler.

Hallo, habe es vesucht aber daran liegt es nicht:
in rc.conf:
slapd_sockets="/var/run/openldap/ldapi"
slapd_flags='-s 255 "-h ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap:/// ldaps:///"'

Erbebnis nach >/usr/local/etc/rc.d/slapd start in der Log--Datei

daemon_init:  ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap:/// ldaps:///
daemon_init: listen on ldapi://%2fvar%2frun%2fopenldap%2fldapi/
daemon_init: listen on ldap:///
daemon_init: listen on ldaps:///
daemon_init: 3 listeners to open...
daemon: bind(6) failed errno=48 (Address already in use)
slap_open_listener: failed on ldapi://%2fvar%2frun%2fopenldap%2fldapi/
slapd stopped.

>man errno=48 ==>
48 EADDRINUSE Address already in use.
Only one usage of each address is normally permitted.

Welche Adresse? ich gebe doch gar keine an..

 

[hessijens]

Mir ist noch was aufgefallen. /var/run/openldap/ldapi ist ein Verzeichnis. Da der Name beriets existiert kann slapd kein socket erstellen.

drwxr-x--- 2 ldap ldap 512 Mär 20 19:58 ldapi

Stimmt das noch? Falls ja lösche bitte einmal das komplette Verzeichnis /var/run/openldap/ldapi und starte slapd neu. Das sollte einen neuen Socket erstellen.

 

[HaraldLangner]

Hallo + Danke,
das habe ich wohl übersehen. ldapi ist ja ein socket und kein Verzeichnis. Ich habe aber noch merkwürdige Fehlermeldungen im log. Hier erst mal die Befehlskette und das Ergebnis:
rc.conf

slapd_enable="YES"
slapd_sockets="/var/run/openldap/ldapi"

slapd_flags='-s 256 -u ldap -g ldap "-h ldap://rechner.domain.lan/ ldaps://rechner.domain.lan/ ldapi://%2fvar%2frun%2fopenldap%2fldapi/"'

Ergebnis:

>/usr/local/etc/rc.d/slapd status
slapd is running as pid 1136

netstat -an | grep 389
tcp4 0 0 192.168.17.04.389 *.* LISTEN
tcp4 0 0 127.0.0.1.389 *.* LISTEN

netstat -an | grep 636
tcp4 0 0 192.168.17.04.636 *.* LISTEN
tcp4 0 0 127.0.0.1.636 *.* LISTEN

Aber im Log steht

slapd[1135]: daemon: bind(8) failed errno=49 (Can't assign requested address)
Apr  2 19:39:28 rechner slapd[1135]: daemon: bind(10) failed errno=49 (Can't assign requested address)
Apr  2 19:39:28 rechner slapd[1135]: /usr/local/etc/openldap/slapd.conf: line 164: warning: cannot assess the validity of the ACL scope within backend naming context
Apr  2 19:39:28 rechner slapd[1135]: /usr/local/etc/openldap/slapd.conf: line 168: warning: cannot assess the validity of the ACL scope within backend naming context
Apr  2 19:39:28 rechner slapd[1136]: slapd starting

Was bedeutet das "Can't assign requested address" scheint doch zu laufen?

(2) Ich muß auch noch SASL konfigurieren. Habe in der slapd.conf bisher dies eingetragen, aber das reicht nicht.

#____________________________________________________________________
# Um SASL beim OpenLDAP Server zu aktivieren, ergänzt man die Konfiguration 
# wie folgt
sasl-host       rechner.domain.lan

saslRegexp
	uid=(.*),cn=GSSAPI,cn=auth
	uid=$1,ou=*,ou=*,o=domain,c=lan

#uid=$1,o=domain,c=lan
#ldap:///o=domain,c=lan??sub?uid=$1 

sasl-realm	domain.lan

sasl-secprops none
#Die Option srvtab gilt nur für Kerberos Version 4 (nicht vorhanden)
#srvtab          /etc/openldap/krb5.keytab

Was müsste ich da genau reinschreiben?

Vielen Dank!

 

[hessijens]

Zu: "Can't assign requested address"

Existiert nun /var/run/openladp/ldapi? Ansonsten tippe ich auf einen DNS Fehler. Die Ausgabe von "nslookup rechner.domain.lan" stimmt? Ist evtl. etwas anderes in /etc/hosts eingetragen? Das würde ich als erstes Prüfen.

Übrigens hast Du noch einen Fehler bei den Berechtigungen (access to ....) in der slapd.conf in Zeile 164 und 168, die würde ich auch erst beheben.

Zu "SASL"

Das was bisher in der slapd.conf steht gilt für Kerberos/GSSAPI. Hast Du vor eine Kerberos Umgebung zu installieren?

Hierzu gleich einen Tipp vor Beginn um unnötige Arbeit zu vermeiden. Wenn Du als REALM für Kerberos Kleinbuchstaben verwendest wirst Du später bei einigen Anwendungen (SAMBA) evtl. Probleme bekommen. Um diesen aus dem Weg zu gehen verwende am besten gleich Großbuchstaben.

 

[HaraldLangner]

Hallo,
und Danke für Deine Antwort.

zu 1)

Existiert nun /var/run/openladp/ldapi?

Ja in /var/run/openldap/:
srw-rw-rw- 1 ldap ldap 0 Apr 4 15:54 ldapi

zu 2) ich habe eine Kerberos Umgebung versucht zu installieren und zwar über den port:

>cd /usr/ports/security/krb5
>portupgrade -NRP				(dauert ....)

ich poste mal meine /etc/krb5.conf die ich nach Anleitung erstellt habe (domain.lan stimmt schon):

#Ensure that you remove all trailing spaces in the configuration files
#
[libdefaults]
# Set the realm of this host here
default_realm = DOMAIN.LAN
#
# Maximum allowed time difference in seconds between KDC and this host
clockskew = 300

# This sections describes how to figure out a realm given a DNS name
[domain_realm]
.domain.lan = DOMAIN.LAN

[realms]
DOMAIN.LAN = {

# Specify KDC here - kdc = [service/]host[:port]
kdc = kerberos.domain.lan
default_domain = .domain.lan

# Administration server, used for creating users etc.
admin_server = kerberos.domain.lan
}
	
# Example of a "foreign" realm
#OTHER.REALM = {
#	kdc = kerberos.other.domain
#	default_domain = other.domain
#	v4_domains = other.domain
#}
    	

[kadmin]
# For a k5 only realm, this will be fine
#default_keys = v5

[logging]
# The KDC logs by default, but it's nice to have a kadmind log as well.
kdc = 1-/FILE:/var/log/kdc.log
kadmind = 1-/FILE:/var/log/kadmind.log
default = STDERR

Aber ich bin noch gänzlich unerfahren damit. Kerberos läßt sich nicht starten und das kdc.log ist leer Vielleicht gibt es irgendwo eine Anleitung, wie man SASL in OpenLdap integriert unter der Verwendung von Kerberos. Ich brauche das jetzt nicht für 100 user sondern ich mache das, um es mal kennen zu lernen und dachte das wäre ganz cool für die Benutzeranmeldung in SAMBA - allerdings scheint es doch mehr Aufwandt zu sein als ich anfangs annahm... Ich möchte nicht für jedes einzelne Thema ganze Bücher lesen...wie http://web.mit.edu/Kerberos/www/ oder http://www.zytrax.com/books/ldap/
Eine (auch etwas längere) Anleitung die funktiniert wäre erst mal gut..Ich arbeite mit: https://www.bsdwiki.de/FreeBSD_-_Samba_PDC brauche aber keinen PDC sondern nur eine Workgruppe und auch keinen DHCP-Server . Leider sind auch einige Links Defekt wie CUPS und Samba


Grüsse - Harald

 

[hessijens]

Die Frage ist ob Du wirklich Kerberos brauchst. Für einen Samba mit Openldap laut https://www.bsdwiki.de/FreeBSD_-_Samba_PDC benötigst Du es jedenfalls nicht. Hier spart man sich sasl für openldap und verwendet, weil es einfacher ist SSL/TLS und simple Auth.

Eine Anleitung für Kerberos habe ich nicht. Zunächst musstest Du Dir klar werden ob Du Heimdal oder MIT Kerberos verwenden möchtest. Da ich die Kerberos Datenbank in Ldap haben wollte habe ich mich damals für Heimdal entschieden (Geht wohl mitlerweile auch für MIT). Allerdings noch eine weitere Warnung. Ich musste für die Kerberosunterstürtzung auch cyrus-sasl, samba, openldap* (,postfix und cyrus-imap...?) aus den Ports mit dem entsprechenden make Options selbst neu bauen, da manche Optionen im Standart nicht aktiviert waren.

Informatioen findest Du natürlich hier:

http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/kerberos5.html

und natürlich auf der Dokumentationsseite von Heimdal:

http://www.h5l.org/manual/heimdal-0-8-branch/info/heimdal.html

Ansonsten sind alles Howtos, die Du für Linux findest was Kerberos, Openldap, Samba betrifft ebenfalls für FreeBSD gültig. Sehr hilfreich war für mich wegen dem Verständnis:

http://www.bayour.com/LDAPv3-HOWTO.html

Wobei OpenAFS für FreeBSD nicht verfügbar ist. Auch:

http://aput.net/~jheiss/krbldap/howto.html

kann sehr hilfreich sein, wenn Du z.B. Windows einbinden willst. Aber NFSv4 gibt es wieder (noch?) nicht für FreeBSD. Evtl. könnte ftp://ftp.cis.uoguelph.ca/pub/nfsv4 funktionieren (Steht auf meiner ToDo Liste).

Ich denke das ist erst mal genug Lesestoff. Wenn Du weitere Fragen hat immer her damit.

 

[HaraldLangner]

@hessijens

Hallo + Danke
lese noch..................Fragen kommen später.

Erweiterung:
siehe http://www.bsdforen.de/showthread.php?p=181194#post181194

Meine Fragen werden sich also bis auf frühestens nächste Woche verschieben..
Gruß - HL

 

[HaraldLangner]

@hessijens
oder wer sonst noch etwas hierzu weis.

Also, inzwischen habe ich so einiges gelesen und alle Dienste zum Laufen bekommen. Allerdings bei der Konfiguration habe ich noch massive Probleme, da alle HowTo-Vorlagen die ich fand ab einer bestimten Stelle entweder nicht passen oder was verschweigen, so dass ich nicht genau weis wie ich es dann machen muß.
Z.Bsp verlangt das Wiki FreeBSD_-_Samba_PDC ab Seite XX "Installieren Sie den Nitrobit Group Policy-Client". Dieser ist aber kostenpflichtig. angeblich findet man ihn im "Testversion-Zip-Archiv unter dem Namen "NitrobitPolicy.msi". Ich habe aber nirgends ein Test-Archiv gefunden...Ich will jetzt nicht alle Probleme aufzählen - ich erwähne dies nur, da dieses HowTo ja irgendwie zum Forum gehört.

Ok - was läuft:

>usr/local/etc/rc.d/samba status
 nmbd is running as pid 766.
 smbd is running as pid 771.
 winbindd is running as pid 775.

>/usr/local/etc/rc.d/slapd status
 slapd is running as pid 595.

>usr/local/etc/rc.d/saslauthd status  
 saslauthd is running as pid 781

>/etc/rc.d/kerberos status
kerberos5 is running as pid 801. (MIT-Kerberos! nicht Heimdal)
>etc/rc.d/kadmind status       
kadmind5 is running as pid 740

Was will ich eigentlich: SAMBA <-> LDAP <--> SASL <--> GSSAPI <--> Kerberos
Benutzer für Samba sollen sich über LDAP authentifizieren. OpneLDAP wurde mit SASL Unterstüzung installiert und muß wohl daher auch so konfiguriert werden. Wobei OpenLDAP-SASL als Authentifizierungstechnik Kerberos benutzen könnte. Zitat: "OpenLDAP does not directly support Kerberos-5 authentication. However, support is available through the SASL GSSAPI mechanism...."

Ziel ist also Samba wobei ich gerne keinen Microsoft Windows Primary Domain Control (PDC) Ersatz-Server hätte, sondern der Rechner als Mitglied in meiner Workgoup im LAN täte es auch. Um es kennen zu lernen würde ich die Anmeldung aber gerne über LDAP machen.

FRAGEN:
Alle Dienste laufen zwar - Aber die Konfiguration miteinander bekomme ich so einfach nicht hin. Sicherlich habe ich auch noch das ein oder andere Verständnisproblem. Aber damit ich nicht gleich tausend Frage stelle wäre erst mal eine Hilfe, wie ich diverse Fehler finden und beseitigen könnte, wichtig.

Eine Sache geht z.B nicht:

>ldapsearch -x    // -x == ohne SALS geht die einfache Abfrage an slapd
# extended LDIF
#
# LDAPv3
# base <> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
# search result
search: 2
result: 0 Success
# numResponses: 1
---------------------------------------------------------------
>ldapsearch //oder auch
>ldapsearch -Y GSSAPI
ldap_sasl_interactive_bind_s: Local error (-2)
        additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Unknown error -1765328189)

Wie könnte ich jetzt vorgehen um heraus zu finden wo der Fehler liegt? In der krb5kdc.log konnte ich nichts brauchbares finden. Googeln brachte auch nichts.

Für Eure Hilfe, wie immer vielen Dank!

 

[AndreasMeyer]

da alle HowTo-Vorlagen die ich fand ab einer bestimten Stelle entweder nicht passen oder was verschweigen, so dass ich nicht genau weis wie ich es dann machen muß.

Alle Anleitungen werden alt und stimmen irgendwann nicht mehr (IT ist ja bekanntlich schnelllebend).

Z.Bsp verlangt das Wiki FreeBSD_-_Samba_PDC ab Seite XX "Installieren Sie den Nitrobit Group Policy-Client".

Der Nitrobit Group Policy ermöglicht die Durchsetzung von Gruppenrichtlinien mit einem Samba PDC. Ob Du Gruppenrichtlinien benötigst oder nicht, musst Du selber abschätzen. Mit Gruppenrichtlinien werden in Firmen-Netzwerke wichtige Sicherheitsregeln wie Firewall-Einstellung, Passwort-Lebensdauer, Internet Explorer-Einstellungen, Bildschirmschoner-Wartezeit etc. durchgesetzt.

Ich habe aber nirgends ein Test-Archiv gefunden...

Unter Download gibt es das Testversion-ZIP-Archiv. Heisst halt heute "Evaluierungsversion".

da alle HowTo-Vorlagen die ich fand ab einer bestimten Stelle entweder nicht passen

SASL, GSSAPI und Kerberos sind eine Wissenschaft für sich. Kerberos hätte den Rahmen des Wikiartikel "FreeBSD_-_Samba_PDC" gesprengt. Gehe Schritt für Schritt vor und begnüge Dich am Anfang mit SSL, TLS.

 

[HaraldLangner]

@AndreasMeyer
Hallo Andreas

Gehe Schritt für Schritt vor und begnüge Dich am Anfang mit SSL, TLS.

würde ich gerne machen. Folgende Einstellungen wurden bei der OpenLDAP installation verwendet:

		Options for openldap-server 2.3.41                  

    [X] SASL              With (Cyrus) SASL2 support              
    [X] PERL              With Perl backend                       
    [ ] SHELL             With Shell backend (disables threading) 
    [ ] ODBC              With SQL backend                        
    [ ] SLP               With SLPv2 (RFC 2608) support           
    [ ] SLAPI             With Netscape SLAPI plugin API          
    [X] TCP_WRAPPERS      With tcp wrapper support                
    [X] BDB               With BerkeleyDB support                 
    [ ] ACCESSLOG         With In-Directory Access Logging overlay
    [ ] AUDITLOG          With Audit Logging overlay              
    [ ] DENYOP            With Deny Operation overlay             
    [ ] DYNGROUP          With Dynamic Group overlay              
    [ ] DYNLIST           With Dynamic List overlay               
    [ ] LASTMOD           With Last Modification overlay          
    [ ] PPOLICY           With Password Policy overlay            
    [ ] PROXYCACHE        With Proxy Cache overlay                
    [ ] REFINT            With Referential Integrity overlay      
    [ ] RETCODE           With Return Code testing overlay        
    [ ] RWM               With Rewrite/Remap overlay              
    [ ] SYNCPROV          With Syncrepl Provider overlay          
    [ ] TRANSLUCENT       With Translucent Proxy overlay          
    [ ] UNIQUE            With attribute Uniqueness overlay       
    [ ] VALSORT           With Value Sorting overlay              
    [ ] ACI               With per-object ACIs (experimental)     
    [X] DYNAMIC_BACKENDS  Build dynamic backends                  
    [X] SLURPD            Build slurpd replication daemon

Ich habe irgenwo hier gelesen das wenn man SASL mit installiert man es auch verwenden muß sonst läuft der LDAP-Doman slapd nicht bzw das Zusammenspiel mit SAMBA sollte dann nicht funktionieren. Und noch mal alles neu installieren wollte ich nicht.
Soll ich meine slapd.conf mal posten?

(2) Gruppenrichtlinien brauche ich nicht, auch keinen PDC. Aber ich würde mich erst mal an die Anleitung halten und dann wenn es geht nach eigenen Wünschen versuchen zu ändern. Zugriff auf SAMBA-Freigabe von Windows aus wenn "Freigabe für Alle" eingstellt ist - geht.

ps: das o.g. HowTo ist schon gut - ich brauche aber nur Teile davon - und beim ersten Mal ist es schwierig zu entscheiden was fort gelassen werden kann.

bei LDAP ist mir auch noch unklar wie ich genau so eine ldif-Datei für diese Zwecke anlegen müsste mit "cn=Manager,dc=sed,dc...." die einzelnen benötigten Parameter in dem Verzeichnis sind unklar...
Intersannter Link ist auch: http://www.seismo.ethz.ch/linux/afs/node1.html

Gruß - HL

 

[AndreasMeyer]

Folgende Einstellungen wurden bei der OpenLDAP installation verwendet

In Kapitel 4.6 steht klar und deutlich, dass man mit:

pkg_delete -f openldap\*

alle OpenLDAP-Installationen entfernt (insbesondere openldap-sasl-*-Installationen) und den OpenLDAP mit den Optionen:

TCP-Wrapper
BDB
Dynamic-Backends
Slurpd

installiert. Die Optionen:

    [X] SASL              With (Cyrus) SASL2 support              
    [X] PERL              With Perl backend

dürfen nicht markiert sein! Durch unsorgfältiges Lesen und Handeln kann man sich das Leben unnötig schwierig machen

 

[HaraldLangner]

@Andreas,
hallo, ja das habe ich auch inzwischen gemerkt.

Als ich SASL mit ausgewählt hatte, hatte ich noch meine sendmail Installation vor ein paar Jahren in Erinnerung bei der es hies das eine Authentifizierungs-Einstellung in den Konfigurierungsdateien später nicht mehr möglich sei, wenn sendmail nicht mit SASL gebaut wurde. So dachte ich "nimmt es mit kann ja nicht Schaden". Später habe ich dann einen Artikel gefunden in dem es hieß man muß dann auch in slapd.conf SASL Einstellungen definieren. Also wenn das nicht stimmt? könnte ich es auch erst mal fortlassen.
>pkg_delete -f openldap\* habe ich übrigens vorher gemacht.

Kann ich SAMBA auch nur als Workgruppe ohne als PDC aber trozdem mit LDAP konfigurieren?
Gruß - HL