LDAP + samba

時隔五年之久,既實驗了一下 LDAP 的設定這篇之後,又再度遇上了 LDAP 的設定問題。
當年照那篇文章設定的話,在多台 samba servers 的環境下其實是會撞上一些問題的,也就是帳號認證會失敗。
在問題發生的機器上輸入 pdbedit -L 的話,則會看到「sid S-1-5-21-3723331297-2499002124-1306837190-1001 does not belong to our domain」這樣的訊息。
處理的方式很簡單,因為每台 server 的 smb.conf 都是 standalone server,採取「security = user」的設定,所以把 local SID 設成一樣就可以了。
譬如在建立那個 samba 帳號的原機器輸入「net getlocalsid」的話,會看到「SID for domain <hostname> is: S-1-5-21-2347759184-1676931091-2532609757」。
所以只要在每台機器都下「net setlocalsid S-1-5-21-2347759184-1676931091-2532609757」,這個問題就會解決。
但是到了現在,這招已經不管用了。net setlocalsid 怎麼下都還是沒有作用,SID 死都不會變,所以需要學點新方法。

Read moreLDAP + samba

FreeBSD 上的 LDAP server 和 client 在同一台的時候記得設定啟動順序

雖然這個算是超級 FAQ 了,
不過趁還想寫的時候來寫一下。
畢竟現在的硬體配備都不差,
為了充分利用硬體資源很少人會把 LDAP server 單獨放在獨立的機器上。
結果常常開機時某些 service 比 slapd 先起來,
關機或重開時這些 service 又會比 slapd 晚停止,
造成了一個不大也不小的困擾。

Read moreFreeBSD 上的 LDAP server 和 client 在同一台的時候記得設定啟動順序

FreeBSD 8.0 + nss_ldap 會讓 user 的 supplementary group 無效

這個問題是 FreeBSD 8.0 才開始有的。
一般人應該都知道一個 user 可以有一個 primary group,
以及多個 supplementary groups。
前者是直接設定在 passwd / master.passwd 檔裡,
後者是設定在 group 檔裡。
現在的問題就是把 group 放在 LDAP 上面,
無論 user 是系統上的還是 LDAP 上的,
把他們加入 LDAP 上的 group 內都會無效。
不過這是只有把 ldap 加在 nsswitch.conf 的 compat_passwd 和 compat_group 裡才會發生,
這個功能好像在 FreeBSD 8.0 壞掉了,
不然就是有什麼新的設定要改。

Read moreFreeBSD 8.0 + nss_ldap 會讓 user 的 supplementary group 無效

不錯的 LDAP 輔助工具集: ldapscripts

研究 LDAP 的便利工具也有一段時日了,
偏好使用純文字介面的我當然不太可能選擇 GUI client,
所以一開始是先挑了功能不太齊全的 ldapsh,
它提供了一個類似 shell 的介面讓人能編輯或刪除 LDAP 裡的資料,
不過似乎找不到新增資料的方式,
至於會啟動什麼編輯器則是看 EDITOR 這個環境變數決定;
最後相中的是 ldapscripts 這個 ports,
安裝完之後只要做一些簡單的設定就行了,
不過唯一的缺陷似乎是沒支援 starttls,
這樣可能會強迫我開 ldaps 協定吧,
不過目前我只把這個裝在 LDAP server 所在的機器上,
所以其實還算可接受的範圍內。

Read more不錯的 LDAP 輔助工具集: ldapscripts

從 uw-imap 換到 courier-imap

應該很多人知道 uw-imap 因為漏洞太多又沒更新已經 bye bye 了,
FreeBSD 的 ports 裡先是把它設為 FORBIDDEN 之後直接砍了它,
對於這種幾乎不能 config 的 imap/pop3 client 我一直就很不爽,
偏偏大家又很愛裝它,
造成我前陣子也面臨了不得不將它換掉的狀況。

Read more從 uw-imap 換到 courier-imap