http://freesource.info/wiki/AltLinux/Документация/OpenLDAP History/revisions of FreeSource/AltLinux/Документация/OpenLDAP en-us http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP/show?time=2008-03-22+15%3A38%3A31 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a name=".altlinux.dokumentacija.openldap" href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Документация&nbsp;/&nbsp;Open&nbsp;LDAP</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2008-03-22+15%3A38%3A31">2008-03-22 15:38:31</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP">2008-03-22 17:11:48</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><div class="action" style="float:right; width:250px"><div class="action-content">Эта&nbsp;страница была перенесена на&nbsp;<a href="http://altlinux.org/OpenLDAP" target="_blank" title="" class="outerlink">altlinux.org</a>. Текст на&nbsp;freesource.info заморожен.</div></div><br /> Andrey Chesnokov (aacchhee@gmail.com)<br /> По&nbsp;умолчанию в&nbsp;branch4.0 LDAP слушает только на&nbsp;loopback-интерфейсе без&nbsp;SSL. Нужно выбрать подходящую строку и&nbsp;её раскомментировать в&nbsp;файле /etc/sysconfig/ldap:<br /> В&nbsp;branch4.0 после установки пакетов все&nbsp;логи ldap выводятся только на&nbsp;tty12. Если вы&nbsp;хотите иметь отдельный логфайл, то&nbsp;добавьте в&nbsp;/etc/syslog.conf следующее:<br /> [root@huygens ]# cat&nbsp;/etc/syslog.conf | grep ldap<br /> local4.* -/var/log/ldap/slapd.log<br /> и&nbsp;перезапустите syslogd.</div><br /> <b>Удалено:</b><br /> <div class="deletions">По&nbsp;умолчанию в&nbsp;ALTLinux LDAP слушает только на&nbsp;loopback-интерфейсе без&nbsp;ssl. Нужно выбрать подходящую строку и&nbsp;её раскомментировать в&nbsp;файле /etc/sysconfig/ldap:</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP/show?time=2007-04-10+21%3A24%3A13 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Документация&nbsp;/&nbsp;Open&nbsp;LDAP</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2007-04-10+21%3A24%3A13">2007-04-10 21:24:13</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2008-03-22+15%3A38%3A31">2008-03-22 15:38:31</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">Если вы&nbsp;будете администрировать и&nbsp;обращаться к&nbsp;LDAP c&nbsp;другой машины, то&nbsp;проверьте, что&nbsp;LDAP слушает public interface:<br /> [root@huygens sysconfig]# netstat -al | grep LISTEN<br /> tcp&nbsp;0 0 *:ldap *:* LISTEN<br /> По&nbsp;умолчанию в&nbsp;ALTLinux LDAP слушает только на&nbsp;loopback-интерфейсе без&nbsp;ssl. Нужно выбрать подходящую строку и&nbsp;её раскомментировать в&nbsp;файле /etc/sysconfig/ldap:<br /> SLAPDURLLIST="'ldap://localhost/ ldaps:///'"<br /> #SLAPDURLLIST="'ldap:/// ldaps:///'"<br /> После настройки шифрования стоит вернуться к&nbsp;этому файлу и&nbsp;убрать порты без&nbsp;SSL.</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP/show?time=2006-09-05+12%3A01%3A54 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Документация&nbsp;/&nbsp;Open&nbsp;LDAP</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-09-05+12%3A01%3A54">2006-09-05 12:01:54</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2007-04-10+21%3A24%3A13">2007-04-10 21:24:13</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><ul><li> список пользователей Postfix (not implemented)</li></ul></div><br /> <b>Удалено:</b><br /> <div class="deletions"><ul><li> список пользователей Postifx (not implemented)</li></ul></div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP/show?time=2006-08-12+12%3A55%3A02 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Документация&nbsp;/&nbsp;Open&nbsp;LDAP</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-08-12+12%3A55%3A02">2006-08-12 12:55:02</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-09-05+12%3A01%3A54">2006-09-05 12:01:54</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">Так&nbsp;же&nbsp;не забывайте про&nbsp;/etc/openldap/ldap.conf на&nbsp;клиентских машинах. Напомню, что&nbsp;если его&nbsp;нет (а его&nbsp;и&nbsp;не будет, если LDAP сервер не&nbsp;стоит на&nbsp;этой машине) &ndash; то&nbsp;вам нужно будет создать соответствующий каталог+файл, и&nbsp;пользователь (любой) должен иметь возможность прочитать содержимое файла /etc/openldap/ldap.conf и&nbsp;CA-сертефикат.<br /> Итак приступим к&nbsp;танцам. Вот&nbsp;вырезка из&nbsp;работающего конфига:</div><br /> <b>Удалено:</b><br /> <div class="deletions">Так&nbsp;же&nbsp;не забывайте про&nbsp;/etc/openldap/ldap.conf на&nbsp;клиентских машинах. Напомню, что&nbsp;если его&nbsp;нет (а его&nbsp;и&nbsp;не будет, если LDAP сервер не&nbsp;стоит на&nbsp;этой машине) &ndash; то&nbsp;вам нужно будет создать соответствующий каталог+файл, и&nbsp;пользователь (любой) должен иметь возможность прочитать содержимое файла /etc/openlsap/ldap.conf и&nbsp;CA-сертефикат.<br /> Итак приступим к&nbsp;тануам. Вот&nbsp;вырезка из&nbsp;работающего конфига:</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP/show?time=2006-08-12+12%3A01%3A59 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Документация&nbsp;/&nbsp;Open&nbsp;LDAP</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-08-12+12%3A01%3A59">2006-08-12 12:01:59</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-08-12+12%3A55%3A02">2006-08-12 12:55:02</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><a name="h645-1"></a><h1> Настройка OpenLDAP и&nbsp;его клиентов </h1> Рассматривается вопрос использования <span class="missingpage">Open&nbsp;LDAP</span><a href="http://freesource.info/wiki/OpenLDAP/edit?add=1&" title="Создать эту страницу">?</a> для&nbsp;хранения информации о&nbsp;системе, как&nbsp;то:<br /> # Эти&nbsp;три базовые настройки определяют сущность в&nbsp;директории,<br /> <div class="indent"><div class="indent"># print PASSWD_FILE "# LDAP users\n";<br /> </div>print PASSWD_FILE "$var\n";<br /> print TCB_FILE $shadow{$key}."\n";</div> sambaHomePath : <a href="file://///ring.local/anton">\\ring.local\anton</a><br /> sambaProfilePath : <a href="file://///ring.local/profiles/anton">\\ring.local\profiles\anton</a></div><br /> <b>Удалено:</b><br /> <div class="deletions">&lt;u style="display: none;"&gt;... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... &lt;a href='http://www.ringtones-rate.com'&gt;mp3 ringtones&lt;/a&gt; : [<a href="http://www.ringtones-rate.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://www.ringtones-rate.com</a> real ringtones] &ndash; [HTTP://www.ringtones-rate.com real ringtones] : [motorola ringtones|<a href="http://www.ringtones-rate.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://www.ringtones-rate.com</a>] &ndash; [motorola ringtones|HTTP://www.ringtones-rate.com] : <a href="http://www.ringtones-rate.com/tones/" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://www.ringtones-rate.com/tones/</a> : <a href="http://www.ringtones-rate.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />tracfone ringtones</a> : <a href="http://www.ringtones-rate.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />qwest ringtones</a> : &#8220;nextel ringtones&#8221; <a href="http://www.ringtones-rate.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://www.ringtones-rate.com</a> : [<a href="http://www.ringtones-rate.com|funny" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://www.ringtones-rate.com|funny</a> ringtones] &lt;/u&gt;== Настройка OpenLDAP и&nbsp;его клиентов ==<br /> Рассматривается вопрос использования <span class="missingpage">Open&nbsp;LDAP</span><a href="http://freesource.info/wiki/OpenLDAP/edit?add=1&" title="Создать эту страницу">?</a> для&nbsp;хранения информации о&nbsp;системе, как&nbsp;<br /> 2000<br /> то:<br /> # Эти&nbsp;три базовые настройки определяют сущност<br /> 4000<br /> ь&nbsp;в директории,<br /> <div class="indent"><div class="indent"># print PASSWD_FILE "# LDAP users</div></div> &#8220;;<br /> <div class="indent">print PASSWD_FILE "$var</div> ";<br /> <div class="indent">print TCB_FILE $shadow{$key}."</div> ";<br /> Organ<br /> 5708<br /> izational Unit Name (eg, section) []:<a name="sysadmin" href="http://freesource.info/wiki/Sysadmin&" class="">Sys&nbsp;Admin</a><br /> sambaHomePath : \ring.localnton<br /> sambaProfilePath : \ring.localprofilesnton</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP/show?time=2006-08-04+14%3A33%3A50 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Документация&nbsp;/&nbsp;Open&nbsp;LDAP</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-08-04+14%3A33%3A50">2006-08-04 14:33:50</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-08-12+12%3A01%3A59">2006-08-12 12:01:59</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">&lt;u style="display: none;"&gt;... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... no&nbsp;changes ... &lt;a href='http://www.ringtones-rate.com'&gt;mp3 ringtones&lt;/a&gt; : [<a href="http://www.ringtones-rate.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://www.ringtones-rate.com</a> real ringtones] &ndash; [HTTP://www.ringtones-rate.com real ringtones] : [motorola ringtones|<a href="http://www.ringtones-rate.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://www.ringtones-rate.com</a>] &ndash; [motorola ringtones|HTTP://www.ringtones-rate.com] : <a href="http://www.ringtones-rate.com/tones/" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://www.ringtones-rate.com/tones/</a> : <a href="http://www.ringtones-rate.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />tracfone ringtones</a> : <a href="http://www.ringtones-rate.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />qwest ringtones</a> : &#8220;nextel ringtones&#8221; <a href="http://www.ringtones-rate.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://www.ringtones-rate.com</a> : [<a href="http://www.ringtones-rate.com|funny" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://www.ringtones-rate.com|funny</a> ringtones] &lt;/u&gt;== Настройка OpenLDAP и&nbsp;его клиентов ==<br /> Рассматривается вопрос использования <span class="missingpage">Open&nbsp;LDAP</span><a href="http://freesource.info/wiki/OpenLDAP/edit?add=1&" title="Создать эту страницу">?</a> для&nbsp;хранения информации о&nbsp;системе, как&nbsp;<br /> 2000<br /> то:<br /> # Эти&nbsp;три базовые настройки определяют сущност<br /> 4000<br /> ь&nbsp;в директории,<br /> <div class="indent"><div class="indent"># print PASSWD_FILE "# LDAP users</div></div> &#8220;;<br /> <div class="indent">print PASSWD_FILE "$var</div> ";<br /> <div class="indent">print TCB_FILE $shadow{$key}."</div> ";<br /> Organ<br /> 5708<br /> izational Unit Name (eg, section) []:<a href="http://freesource.info/wiki/Sysadmin&" class="">Sys&nbsp;Admin</a><br /> sambaHomePath : \ring.localnton<br /> sambaProfilePath : \ring.localprofilesnton</div><br /> <b>Удалено:</b><br /> <div class="deletions"><a name="h645-1"></a><h1> Настройка OpenLDAP и&nbsp;его клиентов </h1> Рассматривается вопрос использования <span class="missingpage">Open&nbsp;LDAP</span><a href="http://freesource.info/wiki/OpenLDAP/edit?add=1&" title="Создать эту страницу">?</a> для&nbsp;хранения информации о&nbsp;системе, как&nbsp;то:<br /> # Эти&nbsp;три базовые настройки определяют сущность в&nbsp;директории,<br /> <div class="indent"><div class="indent"># print PASSWD_FILE "# LDAP users\n";<br /> </div>print PASSWD_FILE "$var\n";<br /> print TCB_FILE $shadow{$key}."\n";</div> sambaHomePath : <a href="file://///ring.local/anton">\\ring.local\anton</a><br /> sambaProfilePath : <a href="file://///ring.local/profiles/anton">\\ring.local\profiles\anton</a></div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP/show?time=2006-07-25+08%3A05%3A45 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Документация&nbsp;/&nbsp;Open&nbsp;LDAP</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-07-25+08%3A05%3A45">2006-07-25 08:05:45</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-08-04+14%3A33%3A50">2006-08-04 14:33:50</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><a name="h645-1"></a><h2>Squid+LDAP+TLS</h2> настройка прокси-сервере squid для&nbsp;работы с&nbsp;openldap-сервером достаточно простая. Приведу пример настройки..думаю там&nbsp;будет всё более-менее понятно<br /> cat&nbsp;/etc/squid/squid.conf |grep ldap<br /> auth_param basic program /usr/lib/squid/squid_ldap_auth -P -b dc=nirvana,dc=home -f (uid=%s) -H "ldaps://ring.local" -v 3 -p 636<br /> external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -P -b dc=nirvana,dc=home -f (&(memberUid=%v)(cn=%a)) -H "ldaps://ring.local" -v 3 -p 636<br /> acl&nbsp;users external ldap_group squiduser<br /> ....<br /> #myACL<br /> acl&nbsp;users external ldap_group squiduser<br /> http_access allow users<br /> При&nbsp;этом юзер должен входить в&nbsp;группу squiduser в&nbsp;LDAP:<br /> dn:cn=squiduser,ou=Groups,dc=nirvana,dc=home<br /> objectClass: posixGroup<br /> cn: squiduser<br /> gidNumber: 10007<br /> memberUid: proxyuser<br /> memberUid: proxyuser2<br /> ...</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP/show?time=2006-07-22+10%3A24%3A20 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Документация&nbsp;/&nbsp;Open&nbsp;LDAP</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-07-22+10%3A24%3A20">2006-07-22 10:24:20</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-07-25+08%3A05%3A45">2006-07-25 08:05:45</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><!--notypo-->{{TableOfContents page="" title="" numerate=""}}<!--/notypo--><br /> Этот документ будет находится в&nbsp;состоянии: &laquo;Непонятно для&nbsp;кого&raquo;, пока не&nbsp;будет причесано кем-либо :)<br /> suffix &laquo;dc=&lt;youhostname&gt;,dc=&lt;youdomainname&gt;"<br /> suffix &laquo;dc=nirvana,dc=home&raquo;<br /> <ol type="3"><li> Теперь поменяйте rootdn &ndash; это&nbsp;&laquo;отличительное имя&raquo; супер пользователя для&nbsp;этой базы. Супер пользователь может входить под&nbsp;своим dn, даже если каталога на&nbsp;порядок выше не&nbsp;существует. <strong>Поменяйте</strong> <u>rootpw</u>, это&nbsp;ваш секретный пароль (позже мы&nbsp;настроим sasl + krb5), если затрудняетесь с&nbsp;выбором пароля, используйте pwgen. </li><li> Поменяйте также directory для&nbsp;данного &laquo;дерева&raquo; ldap: </li></ol> directory /var/lib/ldap/bases/&lt;Что Либо&gt;<br /> objectClass определяет класс добавляемого в&nbsp;дерево объекта, в&nbsp;данном случае это&nbsp;тип &laquo;организация&raquo; с&nbsp;параметром &#8220;o:&raquo; равным &#8220;home&#8221;.<br /> теперь его&nbsp;необходимо &laquo;загнать&raquo; в&nbsp;ldap.<br /> # ldapadd -x -f newentry.ldif -h 'хост на&nbsp;котором находится slapd' -D &lt;ваш rootdn&gt; -w &lt;ваш rootpw&gt; <br /> adding new&nbsp;entry &laquo;dc=nirvana, dc=home&raquo;<br /> adding new&nbsp;entry &laquo;ou=People,dc=nirvana,dc=home&raquo;<br /> # ./migrate_passwd.pl /etc/passwd &gt; /accounts.ldif<br /> # ldapadd -f /accounts.ldif -h 'хост с&nbsp;slapd' -p 389 -x -D &lt;ваш rootdn&gt; -w &lt;ваш rootpw&gt;<br /> ldapserver# slapadd -b &lt;ваш suffix&gt; -l /accounts.ldif<br /> Если все&nbsp;прошло успешно, все&nbsp;Ваши пользователи &laquo;перехали&raquo; в&nbsp;ldap.<br /> base &lt;suffix&gt;<br /> # начинается с&nbsp;имени протокола, имеет форму &lt;protocol&gt;://&lt;hostname&gt;/<br /> uri&nbsp;&lt;uri to&nbsp;ldapserver&gt;<br /> # Различительное имя, под&nbsp;которым происходит &laquo;анонимное&raquo; подключение (bind) <br /> binddn &lt;DN to&nbsp;bind with&gt;<br /> # (используется только при&nbsp;вызове passwd &lt;username&gt; из-под root<br /> rootbinddn &lt;dn to&nbsp;bind as&nbsp;root&gt;<br /> port &lt;port number&gt;<br /> scope &lt;scope for&nbsp;search&gt;<br /> pam_filter &lt;filter&gt;<br /> pam_login_attribute &lt;login attribute&gt;<br /> #pam_groupdn cn=&lt;groupname&gt;,ou=Groups,dc=nirvana,dc=home<br /> pam_min_uid &lt;number&gt;<br /> pam_max_uid &lt;number&gt;<br /> pam_password &lt;тип передачи пароля&gt;<br /> nss_base_passwd ou=People,&lt;suffix&gt;<br /> nss_base_shadow ou=People,&lt;suffix&gt;<br /> nss_base_group ou=Group,&lt;suffix&gt;<br /> Настройка pam&nbsp;для pam_ldap очень проста &ndash; Вам&nbsp;надо лишь добавить строки, начинающиеся с&nbsp;'&gt;' в&nbsp;файл /etc/pam.d/system-auth<div class="email1 email-odd">&gt; auth sufficient /lib/security/pam_ldap.so</div><div class="email1 email-odd">&gt; account sufficient /lib/security/pam_ldap.so</div><div class="email1 email-odd">&gt; password sufficient /lib/security/pam_ldap.so use_authtok</div><div class="email1 email-odd">&gt; session optional /lib/security/pam_ldap.so</div><div class="email1 email-odd">&gt; account required /lib/security/pam_mkhomedir.so skel=/etc/skel.ru_RU.KOI8-R/ umask=0077</div><br /> Теперь Вам&nbsp;необходимо отдельно настроить sshd (из-за того что&nbsp;он&nbsp;использует pam_userpass) и&nbsp;xscreensaver (из-за того что&nbsp;он&nbsp;использует &lt;PAMROOT&gt;/system-auth-user_first_pass)<div class="email1 email-odd">&gt; auth sufficient pam_ldap.so use_first_pass</div><div class="email1 email-odd">&gt; auth sufficient /lib/security/pam_ldap.so use_first_pass</div><div class="email1 email-odd">&gt; password sufficient /lib/security/pam_ldap.so use_first_pass</div><br /> 0. $ ldapsearch -x -h 'ldap://&lt;hostname&gt;/' -d -1<br /> 7. # su&nbsp;&ndash; &lt;user not&nbsp;in&nbsp;ldap&gt;<a name="h645-1"></a><h3> PAM_LDAP -&gt; PAM_TCB </h3> Однако, вот&nbsp;ваш ldap сервер &laquo;упал&raquo;, а&nbsp;репликацию мы&nbsp;пока не&nbsp;настроили &ndash; в&nbsp;этом случае можно использовать pam_tcb (что и&nbsp;случится при&nbsp;выше указанных конфигах pam)<br /> $TCB_ROOT = "$ENV{HOME}/etc/tcb" if $TCB_ROOT eq&nbsp;<!--notypo-->;<br />$PASSWD = &quot;$ENV{HOME}/etc/passwd&quot; if $PASSWD eq <!--/notypo-->;<br /> $BASEDN = &laquo;dc=nirvana,dc=home&raquo; if $BASEDN eq&nbsp;<!--notypo-->;<br />$BINDDN = &quot;cn=tcb,$BASEDN&quot; if $BINDDN eq <!--/notypo-->;<br /> $URI = "ldap://ldap.server/" if $URI eq&nbsp;<!--notypo-->;<br />$VERIFY = &quot;never&quot; if $VERIFY eq <!--/notypo-->;<br /> $CAFILE = &laquo;/etc/openldap/ssl/cacert.pem&raquo; if $CAFILE eq&nbsp;<!--notypo-->;<br />$MIN_UID_NUMBER = 500 if $MIN_UID_NUMBER eq <!--/notypo-->;<br /> $MAX_UID_NUMBER = 65535 if $MAX_UID_NUMBER eq&nbsp;<!--notypo-->;<br /> $pe = join(':', $e-&gt;get_value('uid'), 'x', $e-&gt;get_value('uidNumber'), <br /> $e-&gt;get_value('gidNumber'), $e-&gt;get_value('gecos'), <br /> $e-&gt;get_value('homeDirectory'), $e-&gt;get_value('loginshell'));<br /> $uid = $e-&gt;get_value('uid');<br /> $passwd = $e-&gt;get_value('userPassword');<br /> $e-&gt;get_value('shadowLastChange').<!--/notypo-->, $e-&gt;get_value('shadowMin').<!--notypo-->,<br /> $e-&gt;get_value('shadowMax').<!--/notypo-->, $e-&gt;get_value('shadowWarning').<!--notypo-->,<br /> $e-&gt;get_value('shadowInactive').<!--/notypo-->,<br /> <div class="indent"> $e-&gt;get_value('shadowExpire').<!--notypo-->,<br /> $e-&gt;get_value('shadowFlag').<!--/notypo-->);<br /> <div class="indent">open(PASSWD_TEMPLATE,"&lt;$PASSWD")<br /> </div> or&nbsp;die &#8220;Cannot open system users file&#8221;;<br /> <div class="indent">while(&lt;PASSWD_TEMPLATE&gt;)<br /> </div>if( $entry[2] &lt; $MIN_UID_NUMBER or $entry[2] &gt; $MAX_UID_NUMBER )<br /> <div class="indent">@passwd = (@passwd, <!--notypo-->, @ldappasswd);<br /> system(&quot;cp $PASSWD $PASSWD-&quot;);<br /> open(PASSWD_FILE,&quot;&gt;$PASSWD&quot;);<br /> # print PASSWD_FILE &quot;# LDAP users\n&quot;;<br /> print PASSWD_FILE &quot;$var\n&quot;;<br /> if ( $&lt; == 0 )<br /> chown getuid(&quot;root&quot;), getgid(&quot;root&quot;), $PASSWD;<br /> mkdir &quot;$TCB_ROOT&quot; if ( ! -d &quot;$TCB_ROOT&quot; );<br /> if ( $&lt; == 0 )<br /> chown getuid(&quot;root&quot;), getgid(&quot;shadow&quot;), $TCB_ROOT;<br /> mkdir &quot;$TCB_ROOT/$key&quot; if ( ! -d &quot;$TCB_ROOT/$key&quot; );<br /> open(TCB_FILE, &quot;&gt;$TCB_ROOT/$key/shadow&quot;);<br /> print TCB_FILE $shadow{$key}.&quot;\n&quot;;<br /> if ( $&lt; == 0 )<br /> chown getuid($key), getgid(&quot;auth&quot;), &quot;$TCB_ROOT/$key&quot;;<br /> chown getuid($key), getgid(&quot;auth&quot;), &quot;$TCB_ROOT/$key/shadow&quot;;<br /> chmod 02710, &quot;$TCB_ROOT/$key&quot;;<br /> chmod 0640, &quot;$TCB_ROOT/$key/shadow&quot;;<br />my $ldap = Net::LDAP-&gt;new( $URI,<br /> verify =&gt; $VERIFY,<br /> cafile =&gt; $CAFILE <br /> ) or die &quot;$@&quot;;<br />my $mesg = $ldap-&gt;bind( $BINDDN, password =&gt; $PASSWORD ) ; <br />$mesg = $ldap-&gt;search( # perform a search<br /> base =&gt; &quot;$BASEDN&quot;,<br /> filter =&gt; &quot;(&amp;(objectClass=posixAccount)$FILTER)&quot;,<br /> scope =&gt; 'sub'<br />$mesg-&gt;code &amp;&amp; die $mesg-&gt;error;<br />#foreach $entry ($mesg-&gt;all_entries) { $entry-&gt;dump; }<br />foreach my $entry ( $mesg-&gt;entries) { <br /> my $uid = $entry-&gt;get_value('uidNumber' );<br /> if( $uid &gt;= $MIN_UID_NUMBER &amp;&amp;<br /> $uid &lt;= $MAX_UID_NUMBER)<br />$mesg = $ldap-&gt;unbind; # take down session<br />замените &lt;YOUR ADMIN DN&gt; на Ваш DN в директории (у меня это uid=davinchi,ou=People,dc=vnet1)<br /> by dn=&quot;^&lt;YOUR ADMIN DN&gt;$&quot; write<br /> by dn=&quot;^&lt;YOUR ADMIN DN&gt;$&quot; write<br /> by dn=&quot;^&lt;YOUR ADMIN DN&gt;$&quot; write<br /> by dn=&quot;^&lt;YOUR ADMIN DN&gt;$&quot; write<br />Если вам захотелось хоть немного безопасности, и клиенты LDAP'а живут не на одной машинке с самим сервером (что очень вероятно) -то вам придётся открывать доступ к LDAP'у &quot;снаружи&quot;, то есть из локальной сети или (мало ли что) даже из всемирной паутины (это может понадобится для хранения профилей почтовиков в LDAP)<br />Такую же картину мы должны наблюдать на всех клиентах ldap-сервера. И при создании сертификатов в качестве ##Common Name## надо будет указывать &quot;ring.local&quot; и такое же имя на всех клиентах ldap-сервера для обращения к серверу. То есть никаких IP 192.168.1.111 в настройках остаться не должно. Вместо него должно присутствовать ring.local.<br />Иначе вы получите &quot;CN сертификата не совпадает с именем хоста&quot;, это также пожет проявится при подключении через SASL/KRB5.<br />Enter PEM pass phrase:&lt;sobakazlaya:)&gt;<br />Verifying - Enter PEM pass phrase:&lt;sobakazlaya&gt;<br />A challenge password []:&lt;здесь нужно просто нажать enter&gt;<br />Enter pass phrase for ./demoCA/private/cakey.pem:&lt;вводим наш первый пароль, самый длинный и секретный&gt;<br /> &lt;набор цифорок и буковок&gt;<br /> &lt;и опять цифорки и буковки&gt;<br />Для этого идём в /etc/sysconfig и правим там файл &quot;ldap&quot;<br />SLAPDURLLIST=&quot;ldap://localhost/&quot;<br />#SLAPDURLLIST=&quot;ldap://localhost/ ldaps:///&quot;<br />#SLAPDURLLIST=&quot;ldap:/// ldaps:///&quot;<br />SLAPD_OPTIONS=<!--/notypo--></div></div> #SLAPDURLLIST="ldap://localhost/"<br /> SLAPDURLLIST='"ldap://localhost/ ldaps:///"' <br /> #SLAPDURLLIST='"ldap://localhost/ ldap:///"'<br /> #SLAPDURLLIST="ldap:/// ldaps:///"<br /> SLAPD_OPTIONS=&quot;&quot;<br /> SLAPDURLLIST='"ldap://localhost/ ldaps:///"' &mdash; это&nbsp;' (апостроф кажется) +" (кавычки)ldap://localhost/ ldaps:///" (кавычки)+' (апостроф кажется) <br /> &lt;кусь&gt;<br /> &lt;кусь&gt;<br /> &lt;и тута типа кусь&gt;<br /> (БП: Странно, rpm&nbsp;-qf /etc/openldap/ldap.conf =&gt; openldap-clients)<br /> Насчёт прав не&nbsp;забывайте &mdash; простой пользователь должен иметь возможность читать cacert, иначе при&nbsp;любом вызове nss_ldap вы&nbsp;получите &laquo;нет такого пользователя&raquo;.<br /> ldap admin dn&nbsp;= &laquo;cn=admin,dc=<span class="missingpage">Myvery&nbsp;COO&nbsp;Lwork</span><a href="http://freesource.info/wiki/MyveryCOOLwork/edit?add=1&" title="Создать эту страницу">?</a>"<br /> ldap admin dn&nbsp;= &laquo;cn=admin,dc=<span class="missingpage">Myvery&nbsp;COO&nbsp;Lwork</span><a href="http://freesource.info/wiki/MyveryCOOLwork/edit?add=1&" title="Создать эту страницу">?</a>"<br /> sambaHomePath : <a href="file://///ring.local/anton">\\ring.local\anton</a><br /> sambaProfilePath : <a href="file://///ring.local/profiles/anton">\\ring.local\profiles\anton</a></div><br /> <b>Удалено:</b><br /> <div class="deletions"><!--notypo-->{{TableOfContents page= title= numerate=}}<!--/notypo--><br /> Этот документ будет находится в&nbsp;состоянии: &quot;Непонятно для&nbsp;кого&quot;, пока не&nbsp;будет причесано кем-либо :)<br /> suffix &quot;dc=&lt;youhostname&gt;,dc=&lt;youdomainname&gt;&quot;<br /> suffix &quot;dc=nirvana,dc=home&quot;<br /> <ol type="3"><li> Теперь поменяйте rootdn &ndash; это&nbsp;&quot;отличительное имя&quot; супер пользователя для&nbsp;этой базы. Супер пользователь может входить под&nbsp;своим dn, даже если каталога на&nbsp;порядок выше не&nbsp;существует. <strong>Поменяйте</strong> <u>rootpw</u>, это&nbsp;ваш секретный пароль (позже мы&nbsp;настроим sasl + krb5), если затрудняетесь с&nbsp;выбором пароля, используйте pwgen. </li><li> Поменяйте также directory для&nbsp;данного &quot;дерева&quot; ldap: </li></ol> directory /var/lib/ldap/bases/&lt;Что Либо&gt;<br /> objectClass определяет класс добавляемого в&nbsp;дерево объекта, в&nbsp;данном случае это&nbsp;тип &quot;организация&quot; с&nbsp;параметром &quot;o:&quot; равным &quot;home&quot;.<br /> теперь его&nbsp;необходимо &quot;загнать&quot; в&nbsp;ldap.<br /> # ldapadd -x -f newentry.ldif -h 'хост на&nbsp;котором находится slapd' -D &lt;ваш rootdn&gt; -w &lt;ваш rootpw&gt; <br /> adding new&nbsp;entry &quot;dc=nirvana, dc=home&quot;<br /> adding new&nbsp;entry &quot;ou=People,dc=nirvana,dc=home&quot;<br /> # ./migrate_passwd.pl /etc/passwd &gt; /accounts.ldif<br /> # ldapadd -f /accounts.ldif -h 'хост с&nbsp;slapd' -p 389 -x -D &lt;ваш rootdn&gt; -w &lt;ваш rootpw&gt;<br /> ldapserver# slapadd -b &lt;ваш suffix&gt; -l /accounts.ldif<br /> Если все&nbsp;прошло успешно, все&nbsp;Ваши пользователи &quot;перехали&quot; в&nbsp;ldap.<br /> base &lt;suffix&gt;<br /> # начинается с&nbsp;имени протокола, имеет форму &lt;protocol&gt;://&lt;hostname&gt;/<br /> uri&nbsp;&lt;uri to&nbsp;ldapserver&gt;<br /> # Различительное имя, под&nbsp;которым происходит &quot;анонимное&quot; подключение (bind) <br /> binddn &lt;DN to&nbsp;bind with&gt;<br /> # (используется только при&nbsp;вызове passwd &lt;username&gt; из-под root<br /> rootbinddn &lt;dn to&nbsp;bind as&nbsp;root&gt;<br /> port &lt;port number&gt;<br /> scope &lt;scope for&nbsp;search&gt;<br /> pam_filter &lt;filter&gt;<br /> pam_login_attribute &lt;login attribute&gt;<br /> #pam_groupdn cn=&lt;groupname&gt;,ou=Groups,dc=nirvana,dc=home<br /> pam_min_uid &lt;number&gt;<br /> pam_max_uid &lt;number&gt;<br /> pam_password &lt;тип передачи пароля&gt;<br /> nss_base_passwd ou=People,&lt;suffix&gt;<br /> nss_base_shadow ou=People,&lt;suffix&gt;<br /> nss_base_group ou=Group,&lt;suffix&gt;<br /> Настройка pam&nbsp;для pam_ldap очень проста &ndash; Вам&nbsp;надо лишь добавить строки, начинающиеся с&nbsp;'&gt;' в&nbsp;файл /etc/pam.d/system-auth<br /> &gt; auth sufficient /lib/security/pam_ldap.so<br /> &gt; account sufficient /lib/security/pam_ldap.so<br /> &gt; password sufficient /lib/security/pam_ldap.so use_authtok<br /> &gt; session optional /lib/security/pam_ldap.so<br /> &gt; account required /lib/security/pam_mkhomedir.so skel=/etc/skel.ru_RU.KOI8-R/ umask=0077<br /> Теперь Вам&nbsp;необходимо отдельно настроить sshd (из-за того что&nbsp;он&nbsp;использует pam_userpass) и&nbsp;xscreensaver (из-за того что&nbsp;он&nbsp;использует &lt;PAMROOT&gt;/system-auth-user_first_pass)<br /> &gt; auth sufficient pam_ldap.so use_first_pass<br /> &gt; auth sufficient /lib/security/pam_ldap.so use_first_pass<br /> &gt; password sufficient /lib/security/pam_ldap.so use_first_pass<br /> 0. $ ldapsearch -x -h 'ldap://&amp;lt;hostname&amp;gt;/' -d -1<br /> 7. # su&nbsp;&ndash; &lt;user not&nbsp;in&nbsp;ldap&gt;<a name="h645-1"></a><h3> PAM_LDAP -&gt; PAM_TCB </h3> Однако, вот&nbsp;ваш ldap сервер &quot;упал&quot;, а&nbsp;репликацию мы&nbsp;пока не&nbsp;настроили &ndash; в&nbsp;этом случае можно использовать pam_tcb (что и&nbsp;случится при&nbsp;выше указанных конфигах pam)<br /> $TCB_ROOT = &quot;$ENV{HOME}/etc/tcb&quot; if $TCB_ROOT eq&nbsp;;<br /> $PASSWD = &quot;$ENV{HOME}/etc/passwd&quot; if $PASSWD eq&nbsp;;<br /> $BASEDN = &quot;dc=nirvana,dc=home&quot; if $BASEDN eq&nbsp;;<br /> $BINDDN = &quot;cn=tcb,$BASEDN&quot; if $BINDDN eq&nbsp;;<br /> $URI = &quot;ldap://ldap.server/&amp;quot; if $URI eq&nbsp;;<br /> $VERIFY = &quot;never&quot; if $VERIFY eq&nbsp;;<br /> $CAFILE = &quot;/etc/openldap/ssl/cacert.pem&quot; if $CAFILE eq&nbsp;;<br /> $MIN_UID_NUMBER = 500 if $MIN_UID_NUMBER eq&nbsp;;<br /> $MAX_UID_NUMBER = 65535 if $MAX_UID_NUMBER eq&nbsp;;<br /> <div class="indent"><div class="indent">$pe = join(':', $e-&gt;get_value('uid'), 'x', $e-&gt;get_value('uidNumber'), <br /> </div> $e-&gt;get_value('gidNumber'), $e-&gt;get_value('gecos'), <br /> $e-&gt;get_value('homeDirectory'), $e-&gt;get_value('loginshell'));<br /> <div class="indent">$uid = $e-&gt;get_value('uid');<br /> $passwd = $e-&gt;get_value('userPassword');<br /> </div> $e-&gt;get_value('shadowLastChange')., $e-&gt;get_value('shadowMin').,<br /> $e-&gt;get_value('shadowMax')., $e-&gt;get_value('shadowWarning').,<br /> $e-&gt;get_value('shadowInactive').,<br /> $e-&gt;get_value('shadowExpire').,<br /> $e-&gt;get_value('shadowFlag').);<br /> <div class="indent">open(PASSWD_TEMPLATE,&quot;&lt;$PASSWD&quot;)<br /> </div> or&nbsp;die &quot;Cannot open system users file&quot;;<br /> <div class="indent">while(&lt;PASSWD_TEMPLATE&gt;)<br /> </div>if( $entry[2] &lt; $MIN_UID_NUMBER or $entry[2] &gt; $MAX_UID_NUMBER )<br /> <div class="indent">@passwd = (@passwd,, @ldappasswd);<br /> system(&quot;cp $PASSWD $PASSWD-&quot;);<br /> open(PASSWD_FILE,&quot;&gt;$PASSWD&quot;);<br /> # print PASSWD_FILE &quot;# LDAP users</div></div> &quot;;<br /> <div class="indent">print PASSWD_FILE &quot;$var</div> &quot;;<br /> <div class="indent"><div class="indent">if ( $&lt; == 0 )<br /> </div>chown getuid(&quot;root&quot;), getgid(&quot;root&quot;), $PASSWD;<br /> <div class="indent">mkdir &quot;$TCB_ROOT&quot; if&nbsp;( ! -d &quot;$TCB_ROOT&quot; );<br /> if&nbsp;( $&lt; == 0 )<br /> </div>chown getuid(&quot;root&quot;), getgid(&quot;shadow&quot;), $TCB_ROOT;<br /> mkdir &quot;$TCB_ROOT/$key&quot; if&nbsp;( ! -d &quot;$TCB_ROOT/$key&quot; );<br /> open(TCB_FILE, &quot;&gt;$TCB_ROOT/$key/shadow&quot;);<br /> print TCB_FILE $shadow{$key}.&quot;</div> &quot;;<br /> <div class="indent">if ( $&lt; == 0 )<br /> chown getuid($key), getgid(&quot;auth&quot;), &quot;$TCB_ROOT/$key&quot;;<br /> chown getuid($key), getgid(&quot;auth&quot;), &quot;$TCB_ROOT/$key/shadow&quot;;<br /> chmod 02710, &quot;$TCB_ROOT/$key&quot;;<br /> chmod 0640, &quot;$TCB_ROOT/$key/shadow&quot;;</div> my $ldap = Net::LDAP-&gt;new( $URI,<br /> <div class="indent"><div class="indent"><div class="indent">verify =&gt; $VERIFY,<br /> cafile =&gt; $CAFILE <br /> </div> ) or&nbsp;die &quot;$@&quot;;</div></div> my $mesg = $ldap-&gt;bind( $BINDDN, password =&gt; $PASSWORD ) ; <br /> $mesg = $ldap-&gt;search( # perform a&nbsp;search<br /> <div class="indent"><div class="indent">base =&gt; &quot;$BASEDN&quot;,<br /> filter =&gt; &quot;(&amp;(objectClass=posixAccount)$FILTER)&quot;,<br /> scope =&gt; 'sub'</div></div> $mesg-&gt;code &amp;&amp; die $mesg-&gt;error;<br /> #foreach $entry ($mesg-&gt;all_entries) { $entry-&gt;dump; }<br /> foreach my $entry ( $mesg-&gt;entries) { <br /> <div class="indent"><div class="indent">my $uid = $entry-&gt;get_value('uidNumber' );<br /> if( $uid &gt;= $MIN_UID_NUMBER &amp;&amp;<br /> </div>$uid &lt;= $MAX_UID_NUMBER)</div> $mesg = $ldap-&gt;unbind; # take down session<br /> замените &lt;YOUR ADMIN DN&gt; на&nbsp;Ваш DN&nbsp;в директории (у меня это&nbsp;uid=davinchi,ou=People,dc=vnet1)<br /> <div class="indent"><div class="indent"> by&nbsp;dn=&quot;^&lt;YOUR ADMIN DN&gt;$&quot; write<br /> by&nbsp;dn=&quot;^&lt;YOUR ADMIN DN&gt;$&quot; write<br /> by&nbsp;dn=&quot;^&lt;YOUR ADMIN DN&gt;$&quot; write<br /> by&nbsp;dn=&quot;^&lt;YOUR ADMIN DN&gt;$&quot; write</div></div> Если вам&nbsp;захотелось хоть немного безопасности, и&nbsp;клиенты LDAP'а живут не&nbsp;на одной машинке с&nbsp;самим сервером (что очень вероятно) -то вам&nbsp;придётся открывать доступ к&nbsp;LDAP'у &quot;снаружи&quot;, то&nbsp;есть из&nbsp;локальной сети или&nbsp;(мало ли&nbsp;что) даже из&nbsp;всемирной паутины (это может понадобится для&nbsp;хранения профилей почтовиков в&nbsp;LDAP)<br /> Такую же&nbsp;картину мы&nbsp;должны наблюдать на&nbsp;всех клиентах ldap-сервера. И&nbsp;при создании сертификатов в&nbsp;качестве <tt>Common Name</tt> надо будет указывать &quot;ring.local&quot; и&nbsp;такое же&nbsp;имя на&nbsp;всех клиентах ldap-сервера для&nbsp;обращения к&nbsp;серверу. То&nbsp;есть никаких IP&nbsp;192.168.1.111 в&nbsp;настройках остаться не&nbsp;должно. Вместо него должно присутствовать ring.local.<br /> Иначе вы&nbsp;получите &quot;CN сертификата не&nbsp;совпадает с&nbsp;именем хоста&quot;, это&nbsp;также пожет проявится при&nbsp;подключении через SASL/KRB5.<br /> Enter PEM&nbsp;pass phrase:&lt;sobakazlaya:)&gt;<br /> Verifying &ndash; Enter PEM&nbsp;pass phrase:&lt;sobakazlaya&gt;<br /> A&nbsp;challenge password []:&lt;здесь нужно просто нажать enter&gt;<br /> Enter pass phrase for&nbsp;./demoCA/private/cakey.pem:&lt;вводим наш&nbsp;первый пароль, самый длинный и&nbsp;секретный&gt;<br /> <div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent"><div class="indent">&lt;набор цифорок и&nbsp;буковок&gt;<br /> &lt;и опять цифорки и&nbsp;буковки&gt;</div></div></div></div></div></div></div></div> Для&nbsp;этого идём в&nbsp;/etc/sysconfig и&nbsp;правим там&nbsp;файл &quot;ldap&quot;<br /> SLAPDURLLIST=&quot;ldap://localhost/&amp;quot;<br /> #SLAPDURLLIST=&quot;ldap://localhost/ ldaps:///&amp;quot;<br /> #SLAPDURLLIST=&quot;ldap:/// ldaps:///&amp;quot;<br /> SLAPD_OPTIONS=<br /> #SLAPDURLLIST=&quot;ldap://localhost/&amp;quot;<br /> SLAPDURLLIST='&quot;ldap://localhost/ ldaps:///&amp;quot;' <br /> #SLAPDURLLIST='&quot;ldap://localhost/ ldap:///&amp;quot;'<br /> #SLAPDURLLIST=&quot;ldap:/// ldaps:///&amp;quot;<br /> SLAPD_OPTIONS=<br /> SLAPDURLLIST='&quot;ldap://localhost/ ldaps:///&amp;quot;' &mdash; это&nbsp;' (апостроф кажется) +&quot; (кавычки)ldap://localhost/ ldaps:///&amp;quot; (кавычки)+' (апостроф кажется) <br /> &lt;кусь&gt;<br /> &lt;кусь&gt;<br /> &lt;и тута типа кусь&gt;<br /> (БП: Странно, rpm&nbsp;-qf /etc/openldap/ldap.conf =&gt; openldap-clients)<br /> Насчёт прав не&nbsp;забывайте &mdash; простой пользователь должен иметь возможность читать cacert, иначе при&nbsp;любом вызове nss_ldap вы&nbsp;получите &quot;нет такого пользователя&quot;.<br /> ldap admin dn&nbsp;= &quot;cn=admin,dc=<span class="missingpage">Myvery&nbsp;COO&nbsp;Lwork</span><a href="http://freesource.info/wiki/MyveryCOOLwork/edit?add=1&" title="Создать эту страницу">?</a>&quot;<br /> ldap admin dn&nbsp;= &quot;cn=admin,dc=<span class="missingpage">Myvery&nbsp;COO&nbsp;Lwork</span><a href="http://freesource.info/wiki/MyveryCOOLwork/edit?add=1&" title="Создать эту страницу">?</a>&quot;<br /> sambaHomePath : \ring.localnton<br /> sambaProfilePath : \ring.localprofilesnton</div></div> http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP/show?time=2006-07-22+10%3A24%3A10 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Документация&nbsp;/&nbsp;Open&nbsp;LDAP</a> за <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-07-22+10%3A24%3A10">2006-07-22 10:24:10</a> и <a href="http://freesource.info/wiki/AltLinux/Dokumentacija/OpenLDAP?time=2006-07-22+10%3A24%3A20">2006-07-22 10:24:20</a></b><br /> <br /> <b>Удалено:</b><br /> <div class="deletions">&lt;div style="abc"&gt;123&lt;/div&gt; <!--notypo-->&lt;div style=&quot;bcd&quot;&gt;456&lt;/div&gt;<!--/notypo--> [<a href="http://google.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />http://google.com</a> SE&nbsp;Google] <a href="http://yahoo.com" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />SE Yahoo</a></div></div>