[docs] Fwd: Re: [sisyphus] подключение к OpenLDAP через SASL опять отвалилась.

Michael Shigorin mike на osdn.org.ua
Чт Дек 9 13:36:45 MSK 2004


----- Forwarded message from Epiphanov Sergei <serpiph на nikiet.ru> -----

Date: Thu, 9 Dec 2004 13:03:26 +0300
From: Epiphanov Sergei <serpiph на nikiet.ru>
To: vserge на altlinux.ru, ALT Linux Sisyphus discussion list <sisyphus на altlinux.ru>
Subject: Re: [sisyphus] подключение к OpenLDAP через SASL опять отвалилась.

В сообщении от 9 Декабрь 2004 10:44 vserge написал:
> On Wed, 8 Dec 2004 17:31:44 +0300
>
> Epiphanov Sergei <serpiph на nikiet.ru> wrote:
> > Обновился с 2.1.30-alt3 до 2.2.18-alt3 (вместе с со всеми программами,
>
> Сергей если есть доступ к инкомминг заберите оттуда 2.2.19-alt1

У меня нет доступа (я не мантейнер, так как нет возможности полноценно 
выходить в интернет, только почта).

> > которые он цепляет). Теперь система от 06.12.2004. Опять при
> > подключении через SASL посылает в пешее путешествие. Через simple -
> > всё нормально. Подскажите, какие шаги делает LDAP при регистрации
> > через SASL. Полные логи ничего не говорят.
>
> sasl мне негде было проверить можно в личную почту прислать мне шаги для
> воспроизведения и я на этих праздниках попробую поэксперементировать
> над этим вопросом!

Решил воспользоваться книжечкой для Master 2.4. Кстати, шаги, которые там 
приведены, уже не работают. В частности, openldap отказывается 
регистрировать запись вида

dn: dc=example,dc=com
objectClass: ... <ну и так далее>

говоря, что нет такого аттрибута <dc>. Приходится брать другие варианты, у 
меня,

o=example,dc=com

Далее полез в английский HOWTO как настроить sasl в ldap. Прописал 
в /etc/slapd.conf строку

sasl-regexp
    uid=(.*),cn=example,cn=digest-md5,cn=auth
    uid=$1,ou=people,o=bkpi82,dc=com

В инструкции сказано, что необходимо настроить sasl2 перед работой. Но 
возникает вопрос: по умолчанию sasl2 обращается к серверу ldap, а ldap 
(для проверки пароля) - к sasl. Нет ли здесь замкнутого круга? Я навёл 
saslauthd на запущенный сервер ldap, через simple подключение ввёл 
пользователя test, дал ему пароль test.

Набираю:

ldapsearch -LLL -W -U test на example -b 'o=example,dc=com'

Получаю:

ldap_sasl_interacive_bind_s: no such object (32)

Какой же он ищет объект? Из регистрации пакетов я приблизительно понял, что 
ему нужны записи, где в objectClass есть supportedSASLMechanisms. Но 
такого objectClass в схемах я что-то вообще не нашёл. На команду

ldapsearch -LLL -Y DIGEST-MD5 -W -U test на example -b 'o=example,dc=com'

Говорит, что нет такого метода: DIGEST-MD5

> Я знаю точно, что сейчас в ветке 2.2.х система sasl была переработана
> полностью. Разработчики отказались от отдельного кербероса и используют
> sasl для работы с ним.

Понять бы, что ему надо. А точнее последовательность действий:

1. Запрос ввода имени и пароля
2. передача на сервер
3. сервер формирует строку/обращается к внешним программам/что-то ещё...
....

Курение исходников и доков уже в течение месяца просветления не дали. 
Может, я где-то в районе sasl чего-то недонастроил...

-- 
С уважением, Епифанов Сергей
_______________________________________________
Sisyphus mailing list
Sisyphus на altlinux.ru
https://lists.altlinux.ru/mailman/listinfo/sisyphus

----- End forwarded message -----

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


Подробная информация о списке рассылки docs