EN
выписал тикет, сложил его апачу. все. никаких тебе логинов-паролей
Size: a a a
2020 November 24
И
И что дальше?) А привязка к группе в АД?)
EN
И что дальше?) А привязка к группе в АД?)
вероятно мне не надо было на уровне апача это делать, т.к. это уже задача приложения. оно уже по пользователю видело что к чему.
EN
я так понимаю тут авторизацию тоже надо на апач сложить
И
вероятно мне не надо было на уровне апача это делать, т.к. это уже задача приложения. оно уже по пользователю видело что к чему.
Вот тут то собака и порылась) Что разрабы не хотят в приложение это пихать (это обсуждать не будем))) )
И
я так понимаю тут авторизацию тоже надо на апач сложить
Да)
EN
Вот тут то собака и порылась) Что разрабы не хотят в приложение это пихать (это обсуждать не будем))) )
плохо. ты будешь значит курочить периодически через апач настройки по сути приложения.... я чет не могу найти доку по модулю апача. там наверняка в require можно что-то кроме valid-user вписать
И
Как апачу то это скормить я знаю, тут вопрос прийти к тому, чтоб при выполнении getent passwd ad_user оно выдавало инфу о пользователе в АД... Вот это как раз и не работает... В sssd ошибка [sdap_rebind_proc] (0x0020): ldap_sasl_interactive_bind_s failed (-2)[Local error] и хз что он хочет, тырнет молчит...
И
плохо. ты будешь значит курочить периодически через апач настройки по сути приложения.... я чет не могу найти доку по модулю апача. там наверняка в require можно что-то кроме valid-user вписать
Можно для модуля mod_authnz_ldap прописать Require ldap-group CN=,DN=...
И
https://httpd .apache.org/docs/2.4/mod/mod_authnz_ldap.html#reqgroup
И
Пробел убери ток
EN
Как апачу то это скормить я знаю, тут вопрос прийти к тому, чтоб при выполнении getent passwd ad_user оно выдавало инфу о пользователе в АД... Вот это как раз и не работает... В sssd ошибка [sdap_rebind_proc] (0x0020): ldap_sasl_interactive_bind_s failed (-2)[Local error] и хз что он хочет, тырнет молчит...
ну тут начать с логов. в апаче или может у модуля есть возможность вербозить побольше. бинд тут типа подключение к лдап как я понимаю. может на сервере есть чего полезного в логах
И
Да тут не в апаче дело, про него пока забыть можно) Тут вопрос про sssd+sasl+krb5
И
Лапками через kinit получаю тикет, потом через ldapsearch все находит... Есть кейтаб и крб5 конфиг, есть настроенный (скорее всего коряво) sssd... И вот когда я делаю getent passwd ad_user то в логе sssd я вижу что идеп подключение к контроллеру домена, потом ошибка [sdap_rebind_proc] (0x0020): ldap_sasl_interactive_bind_s failed (-2)[Local error] , потом типа подключается, смотрит есть ли такой польозватель, не находит его, потом проверяет может я дурак и это группа, группы не находит, проверяет не хост ли это, снова не находит и делает вывод, что такого элемента в АД нет...
И
Плюс не понятно надо ли запусать saslauthd...
EN
Лапками через kinit получаю тикет, потом через ldapsearch все находит... Есть кейтаб и крб5 конфиг, есть настроенный (скорее всего коряво) sssd... И вот когда я делаю getent passwd ad_user то в логе sssd я вижу что идеп подключение к контроллеру домена, потом ошибка [sdap_rebind_proc] (0x0020): ldap_sasl_interactive_bind_s failed (-2)[Local error] , потом типа подключается, смотрит есть ли такой польозватель, не находит его, потом проверяет может я дурак и это группа, группы не находит, проверяет не хост ли это, снова не находит и делает вывод, что такого элемента в АД нет...
про сссд я вообще не помню сложностей. крб5 никакие не крутил. но и использовал просто подключить машину, чтобы туда залогиниться было можно. т.е. в списке юзеров доменные были. че-то типа realmd использовал для подключения
EN
сасл ни разу не трогал
И
В том то и прикол, что у меня контейнер, в нем нет полноценного systemd, а без него realm не сделать(((
EN
обычно там бродкастом находит домен и подключается, если в одном бродкасте. если нет - указать надо имя домена еще. и по идее все. машина в домене и юзеры показывает. если вопрос только в этом
И
обычно там бродкастом находит домен и подключается, если в одном бродкасте. если нет - указать надо имя домена еще. и по идее все. машина в домене и юзеры показывает. если вопрос только в этом
с реалмом да...