LDAP authenticatie van niet lokale users gaat - Linux en overige clients

dinsdag 30 november 2004 19:13

Acties:

Karnemelk FTW

Topicstarter

Ik heb na wat rotzooien LDAP aan de praat gekregen. Ik kan nu lokaal inloggen met behulp van LDAP. Ik wil nu ook mijn andere linux bak gebruik laten maken van de LDAP server. Voor gebruikers die in de LDAP database staan gaat dit prima en ook het wijzigen van wachtwoorden op de client en naar de server toe gaat prima.
Echter ik kan op de 2e machine niet inloggen met een account wat zich wel in de LDAP DB bevindt maar wat geen lokale user is op de 2e machine. In de auth.log krijg ik dan de melding.

code:

1
2

Nov 30 18:37:27 kilimanjaro sshd[1494]: error: PAM: System error for illegal user daphnew from 192.168.0.12
Nov 30 18:37:27 kilimanjaro sshd[1494]: Failed unknown for illegal user daphnew from 192.168.0.12 port 44570 ssh2

daphnew is dan de gebruiker in dit geval

dinsdag 30 november 2004 19:29

Acties:

Lancer

What the......

Vertel eens wat meer over de relevante instellingen.....

1) Is PAM goed geconfigged? Kun je b.v. wel vanaf de console met die user inloggen?
2) Geef je in slapd.conf wel rechten om te binden en query'en van de andere server
3) Staat /etc/nsswitch.conf wel goed?
4) Staat /etc/ldap.conf wel goed ingesteld?
5) nscd opnieuw gestart? (Als deze draait)

Je kunt niet in een systeem meten zonder het systeem te beinvloeden.... (gevolg van de Heisenberg onzekerheidsrelatie)

dinsdag 30 november 2004 21:57

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

Lancer schreef op dinsdag 30 november 2004 @ 19:29:
Vertel eens wat meer over de relevante instellingen.....

1) Is PAM goed geconfigged? Kun je b.v. wel vanaf de console met die user inloggen?

nee dan krijg ik in de auth.og

code:

1
2

Nov 30 21:53:42 kilimanjaro login[361]: (pam_unix) authentication failure; logname=LOGIN uid=0 euid=0 tty=tty4 ruser= rhost=
Nov 30 21:53:45 kilimanjaro login[361]: FAILED LOGIN (2) on `tty4' FOR `UNKNOWN', User not known to the underlying authentication module

2) Geef je in slapd.conf wel rechten om te binden en query'en van de andere server

ja want de login van een user die wel lokaal bestaat maar het wachtwoor dop * staat gaat goed. Alleen ik wil dus af van die lokale gebruikers

3) Staat /etc/nsswitch.conf wel goed?

Die moet ik nog nakijken waar is die exact voor ik vermoed zelf ook een beetje dat het daar zit
dit staat er in mijnn nsswitch

code:

passwd:         compat
group:          compat
shadow:         compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

4) Staat /etc/ldap.conf wel goed ingesteld?
5) nscd opnieuw gestart? (Als deze draait)

draait niet

[ Voor 14% gewijzigd door TrailBlazer op 02-12-2004 08:55 ]

dinsdag 30 november 2004 22:03

Acties:

CyBeR

💩

PAM is alleen voor het verifieren van wachtwoorden. Om een gebruiker echt te laten bestaan moet er in /etc/nsswitch.conf ook een manier gedefinieerd zijn om 'm op te zoeken. Dat doe je door achter passwd, group en shadow ook 'ldap' te zetten.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 30 november 2004 22:29

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

ik heb nu in nsswitch ook ldap toegevoegd. Ik zie de client echter geen verzoeken doen bij de LDAP server opvragen bij getent passwd

woensdag 1 december 2004 20:58

Acties:

Verwijderd

Uiteraard heb je PAM ook verteeld dat accounts tegen een LDAP server geverifierd moeten worden

Het is verstandig je goed in wat HOWTO's/documenten te verdiepen als je met LDAP bezig gaat. Met name het veiligheidsaspect moet goed in de gaten gehouden worden. Helaas kom je maar al te vaak slecht beveiligde LDAP implementaties tegen.

offtopic:
@ Zwerver:

Druk, druk, druk met het eigen bedrijf

[ Voor 17% gewijzigd door Verwijderd op 01-12-2004 21:01 ]

donderdag 2 december 2004 08:55

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

ik heb onder alle common files het volgende toegevoegd. boven de reeds bestaande regel

code:

1	password sufficient pam_ldap.so use_first_pass

die common files worden geinclude vanuit een aantal files in /etc/pam.d/

ik weet niet of dat specifiek voor debian testing in in stable werd het nog niet zo gedaan.

getent lijkt nu ook goed te gaan alleen in de debug van slapd zie ik dit langskomen

code:

1	access to attribute userPassword not allowed

klinkt niet goed

[ Voor 22% gewijzigd door TrailBlazer op 02-12-2004 09:00 ]

donderdag 2 december 2004 09:05

Acties:

Verwijderd

nss_ldap haalt de waarde van het userPassword veld op en checked die... pam_ldap probeerd te binden en checked op die manier de authenticatie.

OpenSSH kan zonder nss-ldap

pam, nss en ldap-utils gebruiken verschillende configs....

code:

# find . -name \*ldap.conf
./ldap/ldap.conf
./pam_ldap.conf
./openldap/ldap.conf
./libnss-ldap.conf

_{Kijk ook eens naar mijn ldap.pdf}

[ Voor 21% gewijzigd door Verwijderd op 02-12-2004 09:08 ]

donderdag 2 december 2004 18:14

Acties:

TrailBlazer

Karnemelk FTW

Topicstarter

compukid kan jij de inhoud van jouw files een posten want ik kom er niet meer uit

weer iets verder ik zie ind eauth.log alleen maar pam_unxi langskomen zowel bij inloggen vi console als via ssh. Moet ik iets her starten om pam de config file te laten doorvoeren

[ Voor 54% gewijzigd door TrailBlazer op 02-12-2004 18:28 ]