LliureX

[SOLUCIONADO] ACLs para el acceso al LDAP de Lliurex

[SOLUCIONADO] ACLs para el acceso al LDAP de Lliurex

per Joaquin López Sánchez -
Nombre de respostes: 15

Hola, este mensaje es para Daniel Durán, por cierto, me alegro de que estés también por aquí Complicitat

Hay un problema con el usuario roadmin.
Este usuario, que en principio esta pensado para que acceda a los atributos sambaNTPassword y sambaLMPassword, no tiene permisos de acceso, y por lo tanto no se puede usar para la configuración de un servidor RADIUS para implantar Wifi Enterprise con EAP-PEAP.

A ver si me puedes poner en contacto con la peersona de Lliurex que lleva el tema.

Saludos

(Edited by Daniel Duran Vecino - original submission Tuesday, 8 November 2016, 11:00 AM)

(Edited by Daniel Duran Vecino - original submission Thursday, 10 November 2016, 2:59 PM)

In reply to Joaquin López Sánchez

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Daniel Duran Vecino -
Joaquin en un principio, y hasta donde yo se debes de entrar en Llum y en la pestaña de Administrador solo lectura de LDAP debes de poner la contraseña que vas a usar en freeradius.

Prueba esto y me cuentas.
In reply to Daniel Duran Vecino

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Joaquin López Sánchez -

"Permítame que insista", Complicitat

Eso no funciona porque ese usuario llamado roadmin que en principio debería tener acceso en modo sólo lectura a los atributos sambaNTPassword y sambaLMPassword, no tiene acceso.

Por eso te comentaba que necesito contactar con el responsable del paquete que actualmente creo que es un tal pelegrino, al menos así aparece en el TRAC de lliurex.


Saludos,

In reply to Joaquin López Sánchez

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Daniel Duran Vecino -

Joaquin el compañero que ha desarrollado la parte de freeradius se sienta a mi lado y hemos comprobado una vez más esta mañana que esto que nos comentas no se produce, para ello si ejecutas en el servidor del freeradius la siguiente instruccion veras como si que accede a las contraseñas, solo deberás de poner en PASSWORD tu contraseña:


ldapsearch -x -D cn=roadmin,dc=ma5,dc=lliurex,dc=net -w PASSWORD | grep Password


Te envio una captura para que veas que esto si funciona la cual cosa no queire decir que falle otra, pero por lo que hemos comprobado esto funciona sin problemas.

Recuerda que antes en el Llum le hemos puesto la clave de la manera que te dije en el anterior post.


Un saludo.

Attachment Captura de pantalla de 2016-11-11 09-14-35.png
In reply to Daniel Duran Vecino

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Joaquin López Sánchez -
Vaya... Pues a mí me ocurre esto... Tengo la vesión 338 de lliurex:

sudo slapacl -b "ou=Teachers,ou=People,dc=ma5,dc=lliurex,dc=net" -D "cn=admin,dc=ma5,dc=lliurex,dc=net" "sambaLMPassword/read" "sambaNTPassword/read"
authcDN: "cn=admin,dc=ma5,dc=lliurex,dc=net"
read access to sambaLMPassword: ALLOWED
read access to sambaNTPassword: ALLOWED

sudo slapacl -b "ou=Teachers,ou=People,dc=ma5,dc=lliurex,dc=net" -D "cn=roadmin,dc=ma5,dc=lliurex,dc=net" "sambaLMPassword/read" "sambaNTPassword/read"
authcDN: "cn=roadmin,dc=ma5,dc=lliurex,dc=net"
read access to sambaLMPassword: DENIED
read access to sambaNTPassword: DENIED


Saludos,
In reply to Joaquin López Sánchez

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Daniel Duran Vecino -

Joaquin me reitero, tienes inicializado el usuario roadmin a traves del Llum?? Lo que te pasa es muy extraño, te adjunto captura con tu instruccion  en una llx15 version 338 y te muestro como saber si tienes el usuario creado y tambien te muestro lo que me contesta si me invento un usuario como pepito.


Un saludo y ya me dices cosas.

Attachment Captura de pantalla de 2016-11-11 11-41-58.png
In reply to Daniel Duran Vecino

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Joaquin López Sánchez -

OK, te muestro el resultado de los comandos en dos de los servidores que he probado:

sysop@lliurexServer:~$ lliurex-version
cdd, class, desktop, edu, lliurex, ltsp, server, 15.05.0.338

sysop@lliurexServer:~$ ldapsearch -x | grep roadmin
# roadmin, ma5.lliurex.net
dn: cn=roadmin,dc=ma5,dc=lliurex,dc=net
cn: roadmin

sysop@lliurexServer:~$ sudo slapacl -b "ou=Teachers,ou=People,dc=ma5,dc=lliurex,dc=net" -D "cn=roadmin,dc=ma5,dc=lliurex,dc=net" "sambaLMPassword/read" "sambaNTPassword/read"
authcDN: "cn=roadmin,dc=ma5,dc=lliurex,dc=net"
read access to sambaLMPassword: DENIED
read access to sambaNTPassword: DENIED


Así que creo que algo hay diferente en el servidor que probáis vosotros y en los que pruebo yo.


Seguimos...

In reply to Joaquin López Sánchez

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Daniel Duran Vecino -

Comprueba que tienes instalados los paquetes necesarios, adjunto captura.


Un saludo y seguro que lo sacamos a ver que es lo que te esta pasando.

Attachment Captura de pantalla de 2016-11-14 09-06-36.png
In reply to Daniel Duran Vecino

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Joaquin López Sánchez -

Está todo igual excepto las últimas 2 líneas. La versión de mi servidor es diferente:


ii  lliurex-freeradius                                          0.2.1                                               all          GUI to initialize freeradius service
ii  n4d-freeradius                                              0.1.3                                               all          N4D plugin for configuring radius server


Saludos,

In reply to Joaquin López Sánchez

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Daniel Duran Vecino -

Pues Joaquin no lo entiendo lo que te esta pasando puesto que aunque las versiones sean distintas debido a unos cambios que he hecho para una mejora de otra cosa, acabo de probar en una máquina recien instalada y no tengo ningun problema con el usuario roadmin.


Aun asi envianos el resultado de esto:


sudo ldapsearch -Y EXTERNAL -H ldapi://  -b cn=config > ldap_acl.txt


A mi me da la sensación que es un servidor que tienes de hace tiempo inicializado y seguramente cuando se hizo la actualización para el usuario roadmin te entro su configuración inicial pero no se inicializó y por eso te esta dando este error que no se da en las imagenes de servidores nuevos.


Con lo que nos envies comprobaremos sus acls y te diré como cambiarselas si fuese necesario.


Un saludo.



In reply to Daniel Duran Vecino

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Joaquin López Sánchez -

De acuerdo Daniel, aquí tienes el fichero.


Saludos,

In reply to Joaquin López Sánchez

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Daniel Duran Vecino -

Efectivamente he ahi el problema, inicialmente recomprobaremos esto:


ldapsearch -x -D cn=roadmin,dc=ma5,dc=lliurex,dc=net -w PASSWORD | grep LMP


Debería de salir vacio, así quevamos a solventarlo fácilmente, crearemos un script en tmp:


    gedit /tmp/acl_roadmin.py


Y dentro dejaremos caer el siguiente código:


#!/usr/bin/env python

import xmlrpclib as x
import sys

def get_n4d_key():

        try:

                f=open("/etc/n4d/key")
                key=f.readline().strip("\n")
                f.close()

        except:
                key=None

        return key

n4d_key=get_n4d_key()

if n4d_key==None:
        print("[!] You need to run this program with administration privileges. Exiting...")
        sys.exit(1)

c=x.ServerProxy("https://localhost:9779")
c.load_acl(n4d_key,"SlapdManager")


Le daremos a guardar y cerrar el fichero, además de darle permisos de ejecución:


     chmod +x /tmp/acl_roadmin.py


Ahora lo ejecutaremos como sudo para solucionar las acls del roadmin:

      /tmp/acl_roadmin.py

Por último comprobaremos que ya tenemos las acls de manera correcta, es decir con un valor, ejecutando de nuevo:

ldapsearch -x -D cn=roadmin,dc=ma5,dc=lliurex,dc=net -w PASSWORD | grep LMP


Ahora esto tendrá algun valor en base64, con lo que tendremos ya resuelto el problema.


Pruébalo y me cuentas, un saludo.


Por cierto esto deberiamos de haberlo realizado en el foro del mestre a casa para que fuese accesible a toda la comunidad, lo que haremos será luego repegar la pregunta tuya y pegaremos la respuesta correcta final.


In reply to Daniel Duran Vecino

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Joaquin López Sánchez -

Hola Daniel, ahora si que funciona correctamente.

No lo publiqué en el foro de mestreacasa porque entendía que era un problema de lliurex y quería comentárselo directamente a alguien del equipo lliurex para que lo corrigiera en una nueva actualización.



Gracias por todo.

In reply to Joaquin López Sánchez

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Daniel Duran Vecino -

Genial pues abreme una cuestion en mestre a casa, y pegaremos ahi la respuesta tambien, asi todos lo tendran por si les pasa lo mismo.


gracias

In reply to Daniel Duran Vecino

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Tàfol Nebot gómez -

Hola Daniel, estem encantats de que et passes per ací i ens ajudes a solucionar problemes. Ens agrada que els continguts d'Edutictac transcendeixen i arriben a més gent a través de còpies en altres forums, com ara, Mestreacasa. Simplement, volia fer notar un detall: Edutictac, tot i tenir molts menys usuaris, és més obert que els fòrums de Lliurex a Mestreacasa. Ja que a Mestreacasa només pot participar professorat de la CV.

Potser usuaris de Lliurex de fora de la comunitat, els agradaria usar els fòrums oficials.

Era sols una reflexió en veu alta.

Salut!

In reply to Tàfol Nebot gómez

Re: **WORKING** ACLs para el acceso al LDAP de Lliurex

per Daniel Duran Vecino -

Cierto es que LliureX deberia de tener un foro más abierto pero actualmente es el que hay y sobre eso no puedo hacer nada.


Entiendo vuestra posición y mi intención es ayudaros en todo lo posible para que LliureX sea lo más acertado posible.


Lo que comentas del foro se ha tratado muchas veces y estoy seguro que más pronto que tarde se tendrá una solución al respecto.


Un saludo.