Mensen,
Ik ben nu al 2 dagen aan het stoeien met een (klein?) probleempje. En ik kom er echt even niet meer uit.
Ik heb sinds kort een LDAP server (test machine), waar ik een Courier-imap server op laat inloggen, een FTP server en nu is de bedoeling ook een andere machine te koppelen via (laten we beginnen met) de shell (bash b.v.).
Mijn courier-imap server werkt perfect. Zodra ik inlog en het JUISTE wachtwoord opgeef, kom ik in mijn mailbox. Zelfde geldt voor mijn FTP server. Aanmelden lukt alleen met een correcte username + het bijpassende wachtwoord.
Nu ben ik met een derde machine bezig. Deze wil ik laten aanmelden via de shell. Als dat lukt dan zal uiteindelijk ook een X11 client / GDM/KDM of whatever aan moeten kunnen melden.
Maar het wil echt totaal niet lukken. Ik ben al aardig opgeschoten. Recent had ik nog het probleem dat het niet uitmaakte welk wachtwoord ik inklopte om gewoon toegang te krijgen. Het pikte alles. Maar momenteel blijf ik met een foutmelding zitten.
Het gaat om een FreeBSD jail momenteel en ik probeer van de ene user naar de andere user te switchen middels SU. Vanuit 'root' naar user 'dsmink' gaat zonder wachtwoord, maar in de log komt een foutmelding. En van 'dsmink' naar 'dimminkhuizen' resulteerd in dezelfde foutmelding, maar zonder dat de user ook daadwerkelijk switched.
Config op de client machine (jail)
client# cat /usr/local/etc/ldap.conf
URI ldap://10.0.3.224
base dc=test,dc=nl
bind_policy soft
bind_timelimit 1
ldap_version 3
#rootbinddn cn=Manager,dc=test,dc=nl
#ssl start_tls
#ssl on
scope one
#suffix "dc=test,dc=nl"
pam_password ssha
pam_filter objectclass=posixAccount
#pam_check_host_attr yes
pam_login_attribute uid:case:ExactMatch:
nss_base_passwd ou=people,dc=test,dc=nl
nss_base_shadow ou=people,dc=test,dc=nl
#nss_base_group ou=group,dc=test,dc=nl
#nss_base_hosts ou=hosts,dc=test,dc=nl
client# cat /usr/local/etc/nss_ldap.conf
uri ldap://10.0.3.224
base ou=people,dc=test,dc=nl
ldap_version 3
client# cat /etc/pam.d/su
#
# $FreeBSD: src/etc/pam.d/su,v 1.16.32.1.2.1 2009/10/25 01:10:29 kensmith Exp $
#
# PAM configuration for the "su" service
#
# auth
auth sufficient pam_rootok.so no_warn
auth sufficient pam_self.so no_warn
auth requisite pam_group.so no_warn group=wheel root_only fail_safe
auth sufficient /usr/local/lib/pam_ldap.so no_warn
auth required pam_unix.so no_warn try_first_pass
# account
account required pam_login_access.so
account required /usr/local/lib/pam_ldap.so no_warn ignore_authinfo_unavail ignore_unknown_user
# session
session required pam_permit.so
client# ldapsearch -x -b "ou=people,dc=test,dc=nl" "(uid=dsmink)" -ZZ
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=test,dc=nl> with scope subtree
# filter: (uid=dsmink)
# requesting: -ZZ
#
# dsmink, people, test.nl
dn: uid=dsmink,ou=people,dc=test,dc=nl
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
[dsmink@client /]$ su dimminkhuizen
Password: <juiste wachtwoord>
su: Sorry
client# id dimminkhuizen
uid=1002(dimminkhuizen) gid=1002 groups=1002,0(wheel)
[b] cat /var/log/messages
Feb 25 14:39:42 client su: pam_ldap: ldap_search_s Bad search filter
Feb 25 14:39:42 client su: BAD SU dsmink to dimminkhuizen on /dev/pts/0
Uit het bovenstaande maak ik op SU wel werkt vanaf ROOT, maar dat er geen goede filter wordt samen gesteld. Zodra ik van een niet root user naar een andere user wil switchen werkt dit dus niet. De enige filter die ik zie is "pam_filter objectClass=posixAccount". En daar is zover ik zie niets mis mee!
Ik ben nu al 2 dagen aan het stoeien met een (klein?) probleempje. En ik kom er echt even niet meer uit.
Ik heb sinds kort een LDAP server (test machine), waar ik een Courier-imap server op laat inloggen, een FTP server en nu is de bedoeling ook een andere machine te koppelen via (laten we beginnen met) de shell (bash b.v.).
Mijn courier-imap server werkt perfect. Zodra ik inlog en het JUISTE wachtwoord opgeef, kom ik in mijn mailbox. Zelfde geldt voor mijn FTP server. Aanmelden lukt alleen met een correcte username + het bijpassende wachtwoord.
Nu ben ik met een derde machine bezig. Deze wil ik laten aanmelden via de shell. Als dat lukt dan zal uiteindelijk ook een X11 client / GDM/KDM of whatever aan moeten kunnen melden.
Maar het wil echt totaal niet lukken. Ik ben al aardig opgeschoten. Recent had ik nog het probleem dat het niet uitmaakte welk wachtwoord ik inklopte om gewoon toegang te krijgen. Het pikte alles. Maar momenteel blijf ik met een foutmelding zitten.
Het gaat om een FreeBSD jail momenteel en ik probeer van de ene user naar de andere user te switchen middels SU. Vanuit 'root' naar user 'dsmink' gaat zonder wachtwoord, maar in de log komt een foutmelding. En van 'dsmink' naar 'dimminkhuizen' resulteerd in dezelfde foutmelding, maar zonder dat de user ook daadwerkelijk switched.
Config op de client machine (jail)
client# cat /usr/local/etc/ldap.conf
URI ldap://10.0.3.224
base dc=test,dc=nl
bind_policy soft
bind_timelimit 1
ldap_version 3
#rootbinddn cn=Manager,dc=test,dc=nl
#ssl start_tls
#ssl on
scope one
#suffix "dc=test,dc=nl"
pam_password ssha
pam_filter objectclass=posixAccount
#pam_check_host_attr yes
pam_login_attribute uid:case:ExactMatch:
nss_base_passwd ou=people,dc=test,dc=nl
nss_base_shadow ou=people,dc=test,dc=nl
#nss_base_group ou=group,dc=test,dc=nl
#nss_base_hosts ou=hosts,dc=test,dc=nl
client# cat /usr/local/etc/nss_ldap.conf
uri ldap://10.0.3.224
base ou=people,dc=test,dc=nl
ldap_version 3
client# cat /etc/pam.d/su
#
# $FreeBSD: src/etc/pam.d/su,v 1.16.32.1.2.1 2009/10/25 01:10:29 kensmith Exp $
#
# PAM configuration for the "su" service
#
# auth
auth sufficient pam_rootok.so no_warn
auth sufficient pam_self.so no_warn
auth requisite pam_group.so no_warn group=wheel root_only fail_safe
auth sufficient /usr/local/lib/pam_ldap.so no_warn
auth required pam_unix.so no_warn try_first_pass
# account
account required pam_login_access.so
account required /usr/local/lib/pam_ldap.so no_warn ignore_authinfo_unavail ignore_unknown_user
# session
session required pam_permit.so
client# ldapsearch -x -b "ou=people,dc=test,dc=nl" "(uid=dsmink)" -ZZ
# extended LDIF
#
# LDAPv3
# base <ou=people,dc=test,dc=nl> with scope subtree
# filter: (uid=dsmink)
# requesting: -ZZ
#
# dsmink, people, test.nl
dn: uid=dsmink,ou=people,dc=test,dc=nl
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
[dsmink@client /]$ su dimminkhuizen
Password: <juiste wachtwoord>
su: Sorry
client# id dimminkhuizen
uid=1002(dimminkhuizen) gid=1002 groups=1002,0(wheel)
[b] cat /var/log/messages
Feb 25 14:39:42 client su: pam_ldap: ldap_search_s Bad search filter
Feb 25 14:39:42 client su: BAD SU dsmink to dimminkhuizen on /dev/pts/0
Uit het bovenstaande maak ik op SU wel werkt vanaf ROOT, maar dat er geen goede filter wordt samen gesteld. Zodra ik van een niet root user naar een andere user wil switchen werkt dit dus niet. De enige filter die ik zie is "pam_filter objectClass=posixAccount". En daar is zover ik zie niets mis mee!
/u/8/oog3.png?f=community)
Was wel heel erg veel info! Weet zo 1 2 3 niet alle levels uit mijn hoofd, maar anders pak ik er wel even mijn boek bij!
