[CentOS-es] Dilema sobre sustitución del ADS por FDS y estaciones Linux

BlackHand yonsy en blackhandchronicles.homeip.net
Dom Jul 6 18:01:51 UTC 2008 

On Thu, 2008-07-03 at 12:48 -0400, Hardy Beltran Monasterios wrote:

> Yo nunca he ocupado FDS/RHDS7 pero ese userPassword es un atributo del
> directorio LDAP que mantiene la información de las cuentas de usuario.
> 
> Deberías revisar la definición del esquema que estás usando en tu LDAP.

UserPassword es el atributo normal donde deberia almacenarse el password
del usuario. Todos los servidores con soporte LDAP (excepto nuestro
amiguito Active Directory, ahi hay una version marciana de atributos
kerberos q en teoria son standar, en la practica.....) aceptan este
atributo y soportan todos los algoritmos de encriptacion en el (bueno,
con diferencias pero salvables)

Cuando usas Samba, este no usa este atributo sino dos atributos para
guardar el password, LMPassword y NTPassword, siendo el primero la
version encriptada para login desde estaciones de trabajo 95/98/Me y la
segunda la version encriptada para login desde estaciones de trabajo
NT/2000/XP/2003. Esto hace q samba deba mantener sincronizados ambos y
el famoso smbldap-tools tambien los mantiene sincronizados. Eso implica
q nativamente cuando cambio el password desde los mecanismos q Windows
me brinda, solo me cambia esos dos atributos y el atributo userPassword
no es ni tocado.

Para paliar eso, generalmente configuras samba para q sincronize los 3
atributos (LMPassword, NTPassword y userPassword) en cada cambio que se
de del mismo a trabes del Samba. El overlay smbkb5 para openldap intenta
hacer lo contrario (pero solo sirve para unas pocas situaciones
lamentablemente).

Es en ese modo de configuracion donde FDS/RHDS7 falla. Para samba el
FDS/RHDS7 anuncia q no pudo cambiar el atributo userPassword con un
codigo de error, pero el mensaje de error es desconcertante (ya q dice q
el cambio fue exitoso) Para todo esto, convierto el samba.schema q viene
en Samba a una version q sea cargado por el FDS/RHDS con los scripts q
este mismo provee.

Si quito las opciones de samba para sincronizar los tres atributos todo
funciona, pero los servicios q ate al directorio q no sean samba, no
usaran el password q fue cambiado via windows sino el q se mantiene en
el atributo userPassword.

Si hago la configuracion con OpenLDAP, todo funciona de perillas.

y no, ni el soporte oficial de redhat ni la info q encuentro en web me
ha dado mayor luz hasta ahora sobre este problema.

--
Black Hand
powered by GNU/Linux and lots of GNU/Force

Más información sobre la lista de distribución CentOS-es