LDAP authenticatie werkt niet met shadowinfo - Linux en overige clients

maandag 5 januari 2009 21:14

Acties:

Karnemelk FTW

Topicstarter

Ik heb mijn authenticatie op mijn debian server weer naar ldap overgebracht. Na veel vloeken werkt dit redelijk. Het enige wat niet werkt is de shadowsettings voor password aging. Het staat nu als volgt in de LDAP DB
shadowInactive: -1
shadowExpire: -1
shadowFlag: 0
shadowMin: 5
shadowMax: 30
shadowWarning: 30

Er wordt niet gewaarschuwd bij het inloggen en ik kan ook gewoon mijn wachtwoord wijzigen terwijl ik hem net al heb gewijzigd.
Wel zie ik dat bij het aanloggen de attributen worden opgevraagd

code:

=> access_allowed: read access to "uid=eelcon,ou=Person,ou=Shell,ou=People,ou=Account,dc=network-unlimited,dc=org" "shadowMin" requested
<= root access granted
=> access_allowed: read access granted by manage(=mwrscxd)
=> access_allowed: read access to "uid=eelcon,ou=Person,ou=Shell,ou=People,ou=Account,dc=network-unlimited,dc=org" "shadowMax" requested
<= root access granted
=> access_allowed: read access granted by manage(=mwrscxd)
=> access_allowed: read access to "uid=eelcon,ou=Person,ou=Shell,ou=People,ou=Account,dc=network-unlimited,dc=org" "shadowWarning" requested
<= root access granted
=> access_allowed: read access granted by manage(=mwrscxd)
=> access_allowed: read access to "uid=eelcon,ou=Person,ou=Shell,ou=People,ou=Account,dc=network-unlimited,dc=org" "userPassword" requested
<= root access granted
=> access_allowed: read access granted by manage(=mwrscxd)
=> access_allowed: read access to "uid=eelcon,ou=Person,ou=Shell,ou=People,ou=Account,dc=network-unlimited,dc=org" "shadowLastChange" requested
<= root access granted

Ik snap het niet meer en ik kan ook op google niks vinden

dinsdag 6 januari 2009 01:54

Acties:

Keeper of the Keys

Heb je gechecked of je (test) gebruiker ook een shadowLastChange attribuut heeft?
Zonder dat attribuut heeft shadow geeft referentiepunt.
Ik weet dat op mijn systemen (op een school) als een student nog een jaar blijft ik ook hun wachtwoord levensduur moet verlengen of hun wachtwoord vervangen om ze blijvende toegang te bieden.
Ze kunnen niet zelf hun wachtwoord veranderen en ik doe het als LDAP administrator dus ik heb het nooit aan de stok gehad met shadowMin maar ik mag hopen dat als shadowMax wordt gerespecteert shadowMin dat ook wordt....

Verder moet je er rekeing mee houden dat als je ldap gebruikt voor passwd etc elke keer dat er een bestand wordt opgevraagd de relevante user en group uit de LDAP DB moet komen (dat is waarschijnlijk wat je ziet in je log) bij kleine servers zul je dat niet direct voelen, maar zodra je meerder clients hebt en die zijn allemaal voor elk bestand dat ze openen de ldap database aan het querien dan kan het zelfs als het een stevige machine flink langzamer gaan tot zelfs regelrecht niet.
Daarom is het erg handig om de Name Service Caching Deamon [nscd] op je clients (en zelfs de server) te installeren.

Hopelijk helpt dit een beetje...

dinsdag 6 januari 2009 08:13

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

Dit zijn de relevante shadowsetting deze heb ik net uit mijn ldapdb getrokken.
objectClass: shadowAccount
shadowInactive: -1
shadowExpire: -1
shadowFlag: 0
shadowMin: 5
shadowMax: 30
shadowWarning: 30
shadowLastChange: 14250

Ik kreeg vanmorgen wel netjes een berichtje dat ik mijn wachtwoord moest wijzigen dus er gebeurt wel wat tenminste. Net ook even mijn shadowlastchange gezet naar 5 dagen terug en dan krijg ik een prima melding dat mijn password expired in 25 days.

Net mijn shadowlastchange even met 40 dagen teruggezet en dan moet ik meteen bij inloggen mijn wachtwoord wijzigen. Kortom alles werkt behalve de shadowmin setting

[ Voor 14% gewijzigd door TrailBlazer op 06-01-2009 08:30 ]