newscache: Open-news-network.org Version von NewsCache
Subject:
Re: Open-news-network.org Version von NewsCache
From:
Arnold Schiller ####@####.####
Date:
17 Aug 2006 23:32:08 +0100
Message-Id: <200608180027.21973.schiller@babsi.de>
Thursday 17 August 2006 20:49, Herbert Straub wrote:
> I created a patch file with your changes. It is available at
>
> http://www.linuxhacker.at/linux/downloads/src/NewsCache-1.2rc6-ldap-auth
>.patch
>
> Please verify the patch.
This patch looks good.
Perhaps instead of:
+//#ifdef WITH_LDAP
+#ifdef WITH_LDAP
and the same #endif.
The version at
svn://news3.open-news-network.org/onn/projects/NewsCache
is --with-ldap default.
Sorry, mein Englisch ist nicht gerade gut. Bei der SVN-Version auf news3
habe ich alle ifdefs mit einem Kommentarzeichen versehen. Der Code rennt
zwar derzeit testweise auf code-werk.net:12000, aber ich habe nun wirklich
keine Ahnung von C++ und Programmierer bin ich auch nicht. Aufgefallen
ist, das NVClasses-0.9.1/NVList.cc und NVClasses-0.9.1/NVList.h wohl nicht
notwendig ist und weil Windowshosts beim Auschecken damit Probleme hatten
wurden die beiden Dateien auf
svn://news3.open-news-network.org/onn/projects/NewsCache
entfernt.
> I thought this could be also be done with the
> pam_ldap module, but the open-news-network.org ldap server returns
> nothing for anonymous requests.
The problem is, that not all hosts have pam or radius or an ldap-server
running.
Nun ich kenne das pam_ldap module nicht, aber bei open-news-network.org
authentifizieren sich keine Systemaccounts. Es wird mit einer
modifizierten Version von inn-ldapcheck nur zugriff auf den Newsserver
gestattet. Die jeweiligen Systemaccounts können gänzlich anders sein. Die
einzelnen newsX.open-news-network.org sind wild im Netz verteilte
Maschinen und wenn openldap sowie die Directoryservices von Windows eines
Tages verteilte Schreibzugriffe erlaubt, dann könnten auch die ldapserver
irgendwo im Netz stehen. Die Idee newscache einzusetzen ist, einen
WLAN-Hotspot zum Beispiel newscache fähig zu machen. Der ldap-Auth über
das Internet meinetwegen einer schwachen DSL-Leitung macht nicht viel
Last.
> The first request from pam_ldap is a
> anonymous request, if he find the dn of the account, then the module
> do the bind with the dn -> therefor this is not working!
>
> Maybe there is another ldap pam module, which handle this sequenz in
> another way?
>
Das Problem wie gesagt ist, das die Maschinen gar keine Accounts für die
User haben. Der Newsmaster hat gar keinen ldap-Server rennen oder
vielleicht einen extra eigenen ldapserver oder wie es bei
news.taunusstein.net ist, auch noch einen eigenen radiusserver. Die
Strukturen auf den jeweiligen Maschinen sind schwer unterschiedlich. Von
debian über Suse ist alles mögliche vertreten. Für den inn tut es ein
inn-ldapcheck modifiziert, einen userbind für inn macht.
> A ldapsearch works without problems, but i cannot use TLS:
>
> ldapsearch -ZZ -x -b "dc=open-news-network,dc=org" -h
> auth.open-news-network.org -D
> ####@####.#### -W
> ldap_start_tls: Connect error (-11)
> additional info: error:14090086:SSL
> routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
>
> Is there no TLS support?
>
Yes - at the moment.
inn-ldapcheck spricht kein TLS deswegen kam das so. pam scheidet aus, weil
es ja keine zentrale Benutzerdatenbank für die Maschinen gibt, da jede
Maschine ein x-beliebiger Server irgendwo ist. Die einzige Gemeinsamkeit
der Maschinen besteht darin für das open-news-network.org einen Newsserver
zur Verfügung zu stellen und der jeweilige Newsmaster will oder kann sich
nicht um die Benutzerverwaltung kümmern. Und er wil garantiert nicht
OpenNews-Benutzern Systemaccounts geben, sondern nur einzig und alleine
Zugriff auf den Usenet-Dienst. Ich muss aber gestehen ich habe pam bisher
nur für Systemzugriffe auf Maschinen benutzt und es kann sein, dass pam
sachen hergibt, die mir unbekannt sind. Zu bedenken ist dabei auch das
Problem, dass nicht alle Maschinen pam haben müssen, obwohl ein Inn oder
newscache darauf laufen mag. NewsCache habe ich für die Ideen ausgewählt,
weil es GPL ist. Op die ganze open-news-network.org Idee jemals funzt
hängt sicherlich auch von den Benutzern ab und von den Freiwilligen, die
sich daran beteiligen. Ich bin sicherlich auf Dauer nicht der richtige
Koordinator, weil mir die englischen Sprachkenntnisse fehlen. Aber wie das
so ist, ich bin dazu gekommen wie die Jungfrau zum Kind.
Sorry for the German language parts. My English is not good enough to
explain all that stuff.
> Best Regards
> Herbert Straub
>
Best Regards too,
Arnold Schiller
--
news.code-werk.net
news2.open-news-network.org
[Content type application/pgp-signature not shown. Download]