Falk Sauer
Hi Dieter,
@Andreas, den nscd hab ich bislang noch laufen
Am Di 30.Oktober 2007 15:07:07 schrieb Dieter Kluenter:
Falk Sauer
writes: hat irgendwer eine 10.3 mit LDAP Authentifizierung laufen? Ich hab schon alle Verdächtigen (nsswitch.conf, pam, ldap.conf) duchgesehen aber ein Problem bleibt hartnäckig:
welche ldap.conf? Für dieses Problem ist nur /etc/ldap.conf wichtig, nicht aber /etc/openldap/ldap.conf
nur die /etc/ldap.conf, der ldap server ist auf einer 10.0 und geht mit ebendieser ganz hervorragend.
OK, dann vergleiche mal beide ldap.conf genau, insbesondere die Werte für pam_groupdn, pam_member_attribute, nss_schema
1. getent group liefert mir alle gruppen. 2. id username liefert nur die haupt-gruppe des users, nicht die anderen Gruppenmitgliedschaften des users.
Möglicherweise muss da der Suchfilter in ldap.conf verändert Werden. Welcher Wert hat denn pam_filter.
Das kann mehrere Ursachen haben, ich weiss nicht wie SuSE die Gruppenmitgliedschaften organisiert, als Attribut des Users oder der User als member Attribut der Gruppe. Wenn der User als member Attributwert verwaltet wird, ist ein zweiter Suchlauf notwendig.
ein 2. suchlauf? Die user stehen in ou=Users,dc=example,dc=de, die Gruppen in ou=Groups,dc=example,dc=de als memberUid Attribut in cn's - den gruppen.
Wie stösst man denn da einen 2. suchlauf an?
In simpel gesprochen macht id ein ldapsearch mit dem attribut uid=foo unter dem in ldap.conf definierten Zweig nss_base_passwd und nss_base_shadow und bekommt dann die entsprechenden Werte aus dem Eintrag von uid=foo zurückgeliefert, getent group sucht nach im ldap.conf definierten Zweig nss_base_group und sucht nach dem pam_member_attribute Um beides zu verbinden, kann man in ldap.conf pam_filter einen entsprechenden Suchfilter definieren.
Wie gesagt bei der 10.0 geht das einfach so.
aus 1. schließe ich das der dn für die gruppen in der ldap.conf richtig angegeben ist. Wo aber der Unterschied zwischen 1 und 2 herrühren könnte kann ich mir derzeit nicht so recht erklären. Logfiles geben nichts her, ein Debug 9999 in der ldap.conf zeigt das bei beiden Abfragen (getent,id) die gruppeninfos vom ldap server anscheinend abgerufen werden.
Diesen Loglevel gibt es nicht und ein Eintrag in ldap.conf (egal welcher der beiden) wird nicht von slapd ausgelesen, die einzige Stelle ist slapd.conf, oder noch besser direkt in's config backend schreiben.
nein, der lokale client loggt dann wie ein wilder.
Das verstehe ich nicht, welcher lokale client loggt wohin und was
[...] -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8EF7B6C6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org