Calendar

十二月 2017
« 十一月    
 123
45678910
11121314151617
18192021222324
25262728293031

Categories

LDAP + samba

時隔五年之久,既實驗了一下 LDAP 的設定這篇之後,又再度遇上了 LDAP 的設定問題。
當年照那篇文章設定的話,在多台 samba servers 的環境下其實是會撞上一些問題的,也就是帳號認證會失敗。
在問題發生的機器上輸入 pdbedit -L 的話,則會看到「sid S-1-5-21-3723331297-2499002124-1306837190-1001 does not belong to our domain」這樣的訊息。
處理的方式很簡單,因為每台 server 的 smb.conf 都是 standalone server,採取「security = user」的設定,所以把 local SID 設成一樣就可以了。
譬如在建立那個 samba 帳號的原機器輸入「net getlocalsid」的話,會看到「SID for domain <hostname> is: S-1-5-21-2347759184-1676931091-2532609757」。
所以只要在每台機器都下「net setlocalsid S-1-5-21-2347759184-1676931091-2532609757」,這個問題就會解決。
但是到了現在,這招已經不管用了。net setlocalsid 怎麼下都還是沒有作用,SID 死都不會變,所以需要學點新方法。

Continue reading LDAP + samba »

FreeBSD 上的 LDAP server 和 client 在同一台的時候記得設定啟動順序

雖然這個算是超級 FAQ 了,
不過趁還想寫的時候來寫一下。
畢竟現在的硬體配備都不差,
為了充分利用硬體資源很少人會把 LDAP server 單獨放在獨立的機器上。
結果常常開機時某些 service 比 slapd 先起來,
關機或重開時這些 service 又會比 slapd 晚停止,
造成了一個不大也不小的困擾。

Continue reading FreeBSD 上的 LDAP server 和 client 在同一台的時候記得設定啟動順序 »

FreeBSD 8.0 + nss_ldap 會讓 user 的 supplementary group 無效

這個問題是 FreeBSD 8.0 才開始有的。
一般人應該都知道一個 user 可以有一個 primary group,
以及多個 supplementary groups。
前者是直接設定在 passwd / master.passwd 檔裡,
後者是設定在 group 檔裡。
現在的問題就是把 group 放在 LDAP 上面,
無論 user 是系統上的還是 LDAP 上的,
把他們加入 LDAP 上的 group 內都會無效。
不過這是只有把 ldap 加在 nsswitch.conf 的 compat_passwd 和 compat_group 裡才會發生,
這個功能好像在 FreeBSD 8.0 壞掉了,
不然就是有什麼新的設定要改。

Continue reading FreeBSD 8.0 + nss_ldap 會讓 user 的 supplementary group 無效 »

DokuWiki + LDAP

今天應學弟要求把它架起來的,
之前玩的時候沒有認真看 LDAP 的設定部分,
conf/local.php 大概這樣改:

最主要是 super user 群組的設定,
原本以為它只能寫死一個 user id 在上面而已,
後來發現也能跟傳統認證方式一樣把它設定成群組,
這樣 DokuWiki 會透過 LDAP 去判斷 user 是否在 xxx-wiki-admin 這個 group 裡,
是的話就當成 super user 看待,
ACL 設定的部分也是可以如法泡製,
因為考慮有多個 wiki 所以我 group name 就取得長一點了;
把某個 user 加入一個 group 應該沒什麼難度,
以上面的例子來說就是把要當 admin 的 user id 加入 xxx-wiki-admin 這個 group 就好了,
有裝 ldapscripts 的直接打 ldapaddusertogroup admin-id xxx-wiki-admin 這樣就行了。

附帶一提 DokuWiKi 已經把檔案庫從 darcs 搬到 git 上了,
所以要更新的話重抓再裝一遍把檔案複製上去比較快。

不錯的 LDAP 輔助工具集: ldapscripts

研究 LDAP 的便利工具也有一段時日了,
偏好使用純文字介面的我當然不太可能選擇 GUI client,
所以一開始是先挑了功能不太齊全的 ldapsh,
它提供了一個類似 shell 的介面讓人能編輯或刪除 LDAP 裡的資料,
不過似乎找不到新增資料的方式,
至於會啟動什麼編輯器則是看 EDITOR 這個環境變數決定;
最後相中的是 ldapscripts 這個 ports,
安裝完之後只要做一些簡單的設定就行了,
不過唯一的缺陷似乎是沒支援 starttls,
這樣可能會強迫我開 ldaps 協定吧,
不過目前我只把這個裝在 LDAP server 所在的機器上,
所以其實還算可接受的範圍內。

Continue reading 不錯的 LDAP 輔助工具集: ldapscripts »

從 uw-imap 換到 courier-imap

應該很多人知道 uw-imap 因為漏洞太多又沒更新已經 bye bye 了,
FreeBSD 的 ports 裡先是把它設為 FORBIDDEN 之後直接砍了它,
對於這種幾乎不能 config 的 imap/pop3 client 我一直就很不爽,
偏偏大家又很愛裝它,
造成我前陣子也面臨了不得不將它換掉的狀況。

Continue reading 從 uw-imap 換到 courier-imap »

Squid + LDAP 的設定方式

一般預設的 squid.conf 都可以找到這樣的一段:

如果是希望在 localnet 以外的地方使用 LDAP 認證方式來使用 proxy,
那麼就在 allow localnet 那行的下面加入這段就可以了:

-v 3 是指定用 LDAPv3,
-Z 就是要求用 STARTTLS,
squid_ldap_auth 是 ldap 認證的 helper,
用 FreeBSD 的 ports 裝的話有選 LDAP 就自動被編譯和安裝,
如果是 Linux 的話 path 可能會不一樣。

實驗了一下 LDAP 的設定

LDAP 問世也已經有相當長的一段時間了,
一直以來都沒有什麼時間去玩它,
隨著實驗室的 hosts 和 services 越來越多,
也逐漸有了類似的需求,
所以最近下定決心抽出三天時間來實驗它。

Continue reading 實驗了一下 LDAP 的設定 »