[sisyphus] ldap/kerberos домен

[Gleb Kulikov]

В письме от Пятница 27 февраля 2015 17:22:47 пользователь Андрей Черепанов 
написал:

> > Что-то столько пришлось руками править, чтобы просто slapd завёлся --- это
> > же не должно быть так?!
> 
> alterator-net-domain ?
> http://altlinux.org/Домен

Да, конечно, так и действовал.
Однако, из того, что помню:

A) "сервер":

/etc/sysconfig/ldap:
Пришлось дополнить пробелами строку 
	SLAPDURLLIST=" ldap://localhost/ ldaps:/// "
и поставить на файл атрибут immutable, чтобы запуск альтератора не приводил к 
удалению пробелов из строки и соотв., к невозможности запуска slapd
	
/etc/openldap/ldap.conf:
Пришлось заменить tls_reqcert    never ->  ALLOW, без этого были проблемы с 
подключением 

rpc.gssd //  rpc.svcgssd // rpc.idmapd, непонятно, почему службы не стартуют 
(systemd), пришлось дёргать руками // /etc/init.d/gssd|idmapd

Б) клиент,

acc: домен нашёл и аутентификацию настроил автоматически, отлично.
При попытке входа: не работает. 
Пришлось руками править /etc/krb5.conf с указанием домена // realm

Заработало.

Ну и попытка подойти к снаряду nfs4+kerberos провалилиась с грохотом (прошу 
помощи клуба!), тут, очевидно, моё непонимание, как у нас устроены эти 
механизмы



-- 
      Салют, /GLeb

UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru			(telephony)
skype://gleb_kulikov.tomsk		(telephony)