Hi Dieter, @Andreas, den nscd hab ich bislang noch laufen Am Di 30.Oktober 2007 15:07:07 schrieb Dieter Kluenter:
Falk Sauer
writes: hat irgendwer eine 10.3 mit LDAP Authentifizierung laufen? Ich hab schon alle Verdächtigen (nsswitch.conf, pam, ldap.conf) duchgesehen aber ein Problem bleibt hartnäckig:
welche ldap.conf? Für dieses Problem ist nur /etc/ldap.conf wichtig, nicht aber /etc/openldap/ldap.conf
nur die /etc/ldap.conf, der ldap server ist auf einer 10.0 und geht mit ebendieser ganz hervorragend.
1. getent group liefert mir alle gruppen. 2. id username liefert nur die haupt-gruppe des users, nicht die anderen Gruppenmitgliedschaften des users.
Das kann mehrere Ursachen haben, ich weiss nicht wie SuSE die Gruppenmitgliedschaften organisiert, als Attribut des Users oder der User als member Attribut der Gruppe. Wenn der User als member Attributwert verwaltet wird, ist ein zweiter Suchlauf notwendig.
ein 2. suchlauf? Die user stehen in ou=Users,dc=example,dc=de, die Gruppen in ou=Groups,dc=example,dc=de als memberUid Attribut in cn's - den gruppen. Wie stösst man denn da einen 2. suchlauf an? Wie gesagt bei der 10.0 geht das einfach so.
aus 1. schließe ich das der dn für die gruppen in der ldap.conf richtig angegeben ist. Wo aber der Unterschied zwischen 1 und 2 herrühren könnte kann ich mir derzeit nicht so recht erklären. Logfiles geben nichts her, ein Debug 9999 in der ldap.conf zeigt das bei beiden Abfragen (getent,id) die gruppeninfos vom ldap server anscheinend abgerufen werden.
Diesen Loglevel gibt es nicht und ein Eintrag in ldap.conf (egal welcher der beiden) wird nicht von slapd ausgelesen, die einzige Stelle ist slapd.conf, oder noch besser direkt in's config backend schreiben.
nein, der lokale client loggt dann wie ein wilder.
Die Konfiguration habe ich mit yast gemacht und anschließend an den besagten Stellen mehrfach kontrolliert, schaut alles sinnvoll und schlüssig aus.
Da hat Yast seine Grenzen.
das fürchte ich auch, aber ich hatte gehofft das das mittlerweile geht.
Mache doch einfach mal als rootdn ein ldapsearch auf den gesamten Inhalt (sofern du nicht einige Tausend Einträge hast) und sieh dir die Einträge an. ldapsearch -x -D "cn=<dein rootdn> -w <rootpw> -H ldap://localhost -b "<dein suffix> -s sub "*" +
ich denke das die Einträge im ldap ok sind weil es ja mit einer anderen 10.0 prima geht, und wie gesagt der getent group bringt alle gruppen, nur der id nicht. Gruss Falk -- MfG. Falk Sauer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org