• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Novell Nterprise Linux Services ?

Martin Breidenbach

Ultimate Guru
Ist sicher keine 'Netzwerk-Grundinstallation' aber irgendwo muß man's ja posten.

Ich versuche hier gerade eine Evaluationsversion von Novell Nterprise Linux Services zum Laufen zu kriegen (auf SuSE SLES 8.0 Evaluation unter VMware).

Der erste Versuch (ohne Handbuch zu lesen) ist 'ein wenig' fehlgeschlagen ;-) . Ich werde jetzt also erstmal RTFM und STFW betreiben.

Gibts hier jemanden der sich da schonmal durchgebissen hat ?
 

Suzi Q.

Newbie
hallo martin,
scheint ja hier nicht viele zu geben, die dir helfen können ... :cry:
solltest du trotz RTFM noch immer nicht weitergekommen sein, dann beschreib' einmal, worum es geht. ich habe NNLS unter SLES 8 bereits einige male installiert.

cu, Suzy Q.
 
OP
Martin Breidenbach

Martin Breidenbach

Ultimate Guru
Ich war mehr auf der Suche nach Erfahrungsaustausch als nach konkreter Hilfe. Bisher habe ich nicht 'weitergeforscht' aber das lag einfach daran daß man nicht allzuviel gleichzeitig machen kann :)

Ich habe ein Abo der Novell Software Evaluation Library und da sind ja nun auch die SuSE Enterprise Produkte drin.

Bisher habe ich auf dem Sektor noch nicht weitergeforscht da ich momentan in ein paar andere Sachen einarbeiten muß.

NNLS steht noch auf der Liste aber ist momentan so etwa auf Platz 5 :)
 

Suzi Q.

Newbie
hallo martin,
erfahrungsaustausch? na gut, einverstanden, aber dein einleitungs-thread klang aber eher nach hilferuf ("versuche ... laufen zu kriegen ... erste versuch ... fehlgeschlagen ... jemand ... schon durchgebissen ...") usw. ... :D

also los nun: welche erfahrungen wolltest du denn austauschen? machst du das ganze für dich im stillen kämmerlein aus langeweile oder bist du sowas wie'n ädmin, der das für eine firma ausprobieren soll?

worum geht's - konkret - so ... von mann ... zu frau ... ;-)
oder traust du dich bei mir nicht? angst, daß ich nix verstehe von? ;-)
 
OP
Martin Breidenbach

Martin Breidenbach

Ultimate Guru
Ich arbeite als Netzwerker für ein Systemhaus. Momentan probiere ich das nur zum Spaß aus aber man weiß ja nie :)

Allerdings haben sich auf der Liste der Prioritäten gerade ein paar andere Sachen nach oben gedrängelt. Deswegen ist RTFM und STFW im Anfangsstadium steckengeblieben.

Bei meinem ersten Installationsversuch habe ich eine SLES8 installiert und dann einfach mal die Installation von NNLS angeworfen. Das sah zuerst auch gut aus aber dann haben alle zusätzlichen Module gemeint hier gäbs nun wirklich kein eDirectory. Viel mehr ist seitdem nicht mehr geschehen und bevor ich andere Leute mit Fragen auf dem Niveau 'es geht net' nerve möchte ich diesbezüglich erst mal meine Hausaufgaben machen.

Vielleicht komme ich am Wochenende wieder zum 'Spielen' :)
 

ThomasF

Hacker
Hi, ich hab da mal ne Frage, sprich ein konkretes Prob.

Ich hab die eDirectory zwar nicht auf einem SLES8 sondern unter 9.1 installiert aber es läuft soweit ganz gut.

Mein Prob ist das ich User an einer Linux Box an der NDS authentifizieren möchte, im ersten Schritt also an der Kiste auf der der Server läuft.

Ich habe die "Anleitung" aus den Linux Magazin sowie die Novell Doku ausgiebig studiert (auch die von Adrian Malaguti) aber ich bekomme noch nicht mal eine Authentifizierung mit Simple bind hin.

Also ich hab die Schema-Erweiterung und auch den Proxy-User usw. schon gemacht und trotzdem.

Echt Frustrierend !
Mit Openldap hab ich alles am laufen, gar kein Prob.

Ich lasse auf einer Konsole immer ein ndstrace laufen und daher weiß ich, das die Anfrage an die eDirectory erfolgreich ist und auch ein Ergebnis liefert.

Also habe ich PAM in Verdacht ...
Also hab ich Loging aktiviert, aber von den Ausgaben werd ich nich schlau ...

SuSE-Standard:
login[2448]: pam_unix2: pam_sm_authenticate() called
login[2448]: pam_unix2: pam_ldap/pam_sm_authenticate() returned 0
PAM-securetty[2448]: pam_securetty called via pam_sm_authenticate function
PAM-pwcheck[2448]: user [ThomasF] not found
login[2448]: FAILED LOGIN 1 FROM /dev/tty5 FOR UNKNOWN, User not known to the underlying authentication module
login[2448]: pam_unix2: pam_sm_authenticate() called

oder
PAM_LDAP:
PAM-securetty[2285]: pam_securetty called via pam_sm_authenticate function
login[2285]: Failed to look up user 'ThomasF'.

Kein verweiss auf pam_ldap zumindest in der zweiten Version ?!
Mehr kommt da nicht ... Ich habe auch schon die PAM-Files aus pam_ldap genommen und in der nsswitch.conf auf die alte Art versucht mit :

passwd: files ldap
....

Immer das gleiche. Mit den Einträgen in der ldap.conf hab ich auch schon experimentiert ... das schein alles zu klappen mit ldapsearch usw. *grübel*

Also ich weiß nicht weiter, hatte auch schon die NMAS in verdacht aber der Ldapclient sollte doch schon mit der NDS zurechtkommen, oder ?

Kann mir vielleicht jemand einen Tip geben, bitte ?

Gruß

ThomasF
 

ThomasF

Hacker
Hmmm,

habe jetzt mal in der ldap.conf auf

pam_login_attribute cn

gesetzt und bekomme jetzt diese Meldungen:

login[2323]: pam_unix2: pam_sm_authenticate() called
login[2323]: pam_unix2: pam_ldap/pam_sm_authenticate() returned 10
login[2323]: pam_unix2: username=[ThomasF]
login[2323]: pam_unix2: pw == NULL, return PAM_USER_UNKNOWN
login[2323]: FAILED LOGIN 1 FROM /dev/tty5 FOR UNKNOWN, User not known to the underlying authentication module
login[2323]: pam_unix2: pam_sm_authenticate() called

Ich dreh hier langsam am Rad ;-)

Gruß

ThomasF
 

Suzi Q.

Newbie
hallo ThomasF,

na, du hast dich ja schon ziemlich durch einige textdateien gearbeitet. respekt. die kenne ich noch nicht einmal. aber was ich noch nicht verstehe, ist, was du eigentlich wirklich willst.

du schreibst:
"Mein Prob ist das ich User an einer Linux Box an der NDS authentifizieren möchte, im ersten Schritt also an der Kiste auf der der Server läuft."

ich verstehe noch nicht ganz, WAS du gerne erreichen möchtest. zunächst ist es für mein verständnis für die reine funktionalität von NNLS egal, ob du diese unter 9.1 oder SLES8 installierst. ich habe bereits beides erfolgreich durchgeführt.

gehe ich richtig in der annahme, daß du deine benutzer, die du unter SUSE 9.1 (mit NNLS) bereits eingerichtet hast, gerne an der NDS von anderen SUSE-clients aus anmelden würdest, ohne diese an den anderen SUSE-clients auch anlegen zu müssen?

dafür ist NNLS eigentlich ja bisher in seiner v1.0 konzipiert worden. das geht auch. beschreibe einfach einmal genau, WAS du gerne hättest, okay? wenn geht, dann ganz ohne textdateiauszüge ... die verwirren mich immer so ... ;-)
 

ThomasF

Hacker
Hi, also danke erstmal für die Antwort, ich dachte schon es schaut keiner mehr in diesen Thread ;-)

Der Post wird wieder etwas länger, aber ich hoffe er verwirrt nicht zuuu sehr, danke schon mal für die Mühe.

Also ich brauche gar nicht die ganze NNLS ...

Ich habe die eDirectory 8.7.3 installiert außerdem den iManager und auf einer anderen Linux-Box noch die ConsoleOne.

Aber ich habe es auch schon mit der ganzen NNLS versucht und irgendwie ist es das gleiche Prob *grübel*

Ziel ist es in unserem Netz den Openldap Server zu ersetzten und mit einer brauchbaren Oberfläche die Userverwaltung durchzuführen (mit gq und co komme ich zwar gut zurecht aber in meiner Abwesenheit z.B sollen auch meine "Vertreter" im Zweifel User anlegen können)

Ich bin von einem Kumpel aus einer Novell Schmiede darauf gestossen worden ... *gg*

Habe also recheriert und mehrere Artikel und viel Doku gefunden ...

Z.B auch in der Ausgabe 5 des Linux Magazins (Der Artikel ist auch online verfügbar unter http://www.linux-magazin.de/Artikel/ausgabe/2004/05/novell/novell.html )

Dort wie auch an anderen Stellen ist beschrieben wie man eine Linux Box an der NDS authentifiziert auch ohne LUM, indem man das NDS Schema um die rfc2307 erweitert.

Klappt auch alles so wie beschrieben ...

Die entsprechenden Attributte die Linux zur Authentifizierung braucht wie uidNumber, password, loginShell, homeDirectory usw lassen sich alle in der NDS speichern.

Auch die Abfrage per ldapsearch ist kein Prob ... ob jetzt Cleartext ,SSL oder TLS.

Der nächste Schritt sollte nun sein, sich einen User der in der NDS mit allen notwendigen Attributen vorhanden ist, an der Linux Kiste (SuSE 9.1) auf dem die eDirectory läuft, an einer Console anmelden zu lassen.
Also sozusagen localhost (z.B. tty5) , wobei es eigentlich auch ein anderer Rechner sein könnte, ein LDAP Client einfach.

Und an dieser Stell hackt es ...

Es gibt hier zwei Stellen die dafür in Frage kommen, die ldap.conf und PAM.

In der ldap.conf hab ich mittlerweile schon vieles getestet ...
Mit PAM kenne ich mich nicht ganz so gut aus.

Der letzte Stand ist diese debug Ausgabe :

login[8109]: pam_unix2: pam_sm_authenticate() called
login[8109]: pam_unix2: pam_ldap/pam_sm_authenticate() returned 10
login[8109]: pam_unix2: username=[thomasf]
login[8109]: pam_unix2: pw == NULL, return PAM_USER_UNKNOWN
login[8109]: FAILED LOGIN 1 FROM /dev/tty5 FOR UNKNOWN, User not known to the underlying authentication module
login[8109]: pam_unix2: pam_sm_authenticate() called

Die Ausgabe von ndstrace:

DoBind on connection 0x8467400
Treating simple bind with empty DN and no password as anonymous
Bind name:NULL, version:3, authentication:simple
Sending operation result 0:"":"" to connection 0x8467400
DoSearch on connection 0x8467400
Search request:
base: "o=firma"
scope:2 dereference:0 sizelimit:1 timelimit:0 attrsonly:0
filter: "(cn=thomasf)"
no attributes
Empty attribute list implies all user attributes
Sending operation result 0:"":"" to connection 0x8467400
DoSearch on connection 0x827aca8
Search request:
base: "o=nero"
scope:2 dereference:0 sizelimit:1 timelimit:0 attrsonly:0
filter: "(&(objectclass=posixAccount)(uid=thomasf))"
attribute: "uid"
attribute: "userPassword"
attribute: "uidNumber"
attribute: "gidNumber"
attribute: "cn"
attribute: "homeDirectory"
attribute: "loginShell"
attribute: "gecos"
attribute: "description"
attribute: "objectClass"
Sending search result entry "cn=thomasf,ou=Users,o=firma" to connection 0x827aca8
Sending operation result 0:"":"" to connection 0x827aca8

Sieht doch gut aus für Simple Bind, oder ???

Also meiner Meinung nach hackt es bei PAM.

Aber ich habe schon so viele Versionen der /etc/pam.d/login versucht und ich weiß einfach nicht mehr weiter.

Die Art wie das Password in der NDS gespeicht wird könnte es auch sein, aber ich habe es auch schon mit der ganzen NNLS versucht, außerdem habe ich auch schon die NAM MD5 installiert ...

Nichts hat mich bisher weiter gebracht ...

Wäre für jeden Tip sehr dankbar

Gruß

ThomasF
 

Suzi Q.

Newbie
Hallo ThomasF,

ich hab' deinen Beitrag gelesen. dies einstweilen zur info, damit du nicht wieder glauben mußt, daß diesen thread niemand mehr liest ... :wink:
laß mir ein bißchen zeit zur beantwortung. ich komme momentan zu gar nix - und ich muß erst in meinen schulungs-unterlagen kramen ...

also bis bald.
 

ThomasF

Hacker
Ja, kein Problem ;-)

Habe gerade noch etwas rausbekommen ....

Für die ConsoleOne unter Windows gibt es ein Snapin für UnixAccounts.
Ich habe die beiden jar Dateien kopiert und einen Account erstellen können der sich auf einer Linux Kiste authentifizieren kann.

Verrückt oder ??? Kurz vorher habe ich irgendwo in einem alten Forum etwas gelesen in bezug auf Passwortänderung in dem es hieß Auth. würde klappen wenn auf dem Linuxsystem lokal eine /etc/passwd existiert, das password wird dann aus der NDS geholt

Die jars aus dem Snapin sind aber von 2001 oder so und ein wenig buggy, aber ich versuche den Acc einfach mal zu klonen um rauszufinden was da anders ist als in den Anleitungen.

Ich schau mir dann auch noch mal die NNLS an, bzw den LUM Bereich ...
Also ich hätte niemals darauf getippt das das Prob an dem Account liegt.

Damit wäre mein ursprüngliches Prob wohl erledigt

Ich weiß nich ob es sich lohnt das weitere hier im Forum zu dokumentieren ?!? Allzuviele scheinen sich mit diesem Thema ja nicht zu beschäftigen ;-)

Gruß, bis denn

ThomasF
 

ThomasF

Hacker
Sodelle ich habe den Fehler gefunden .... hat lange genug gedauert.

Es geht auch ohne Snapin.

http://www.netsys.com/pamldap/2004/01/msg00092.html

hat mich auf die richtige Spur gebracht ...

Ich habe für den "Namen" z.B der posixGroup den Namen der Gruppe eingetragen und nicht die Bezeichnung des Objektes "posixGroup"

Was einen solche "Kleinigkeiten" aufhalten können *grummel*

Jetzt kommt noch die Anbindung von Samba 3 ....

Gibt es schon eine Schemaerweiterung für die eDirectory ???

Oder kann ich die auch von Samba nehmen, mal ausprobieren ...

Hat das schon jemand hinbekommen ...?

Gruß und schönes WE

ThomasF
 
Oben