Re: LDAP Authentifizierung via PAM

21 Jul 2005

      Dieter Kluenter schrieb:
...
Hallo,
Andreas Rau <linux@stoeckel-grimmler.de> writes:
...
Hallo Liste,
nach den ersten Erfolgen einen LDAP-Server unter SL 9.3 aufzusetzen
und diesen zum Laufen zu bringen, möchte ich nun die
Benutzerverwaltung komplett darüber laufen lassen. Nunmehr habe ich
aber das Problem, dass sich die angelegten Benutzer nicht am System
(login) anmelden können.
[...]
...
Bei Anmeldeversuchen bekomme ich in /var/log/warn folgende Meldung
angezeigt:
"PAM: User not known to the underlying authentication module for
illegal user paul from 192.168.0.126"
Es hat den Anschein, als ob der User paul nicht gefunden wird. Erhöhe
doch einmal in slapd.conf den loglevel auf 416 (32+128+256) und
beobachte was passiert, wenn sich jemand einlogged.
-Dieter
Also wenn ich den Loglevel erhöhe und versuche mit ssh auf dem Server 
einzuloggen, dann sehe ich am Ende folgendes:

Jul 21 17:06:06 linse1 slapd[9604]: => access_allowed: auth access to 
"uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "userPassword" requested
Jul 21 17:06:06 linse1 slapd[9604]: => dn: [1]
Jul 21 17:06:06 linse1 slapd[9604]: => dn: [2] cn=subschema
Jul 21 17:06:06 linse1 slapd[9604]: => acl_get: [3] attr userPassword
Jul 21 17:06:06 linse1 slapd[9604]: => acl_mask: access to entry 
"uid=paul,ou=people,dc=intern,dc=sghd,dc=netz", attr "userPassword" 
requested
Jul 21 17:06:06 linse1 slapd[9604]: => acl_mask: to all values by "", (=n)
Jul 21 17:06:06 linse1 slapd[9604]: <= check a_dn_pat: self
Jul 21 17:06:06 linse1 slapd[9604]: <= check a_dn_pat: *
Jul 21 17:06:06 linse1 slapd[9604]: <= acl_mask: [2] applying auth(=x) 
(stop)
Jul 21 17:06:06 linse1 slapd[9604]: <= acl_mask: [2] mask: auth(=x)
Jul 21 17:06:06 linse1 slapd[9604]: => access_allowed: auth access 
granted by auth(=x)
Jul 21 17:06:06 linse1 sshd[9684]: pam_ldap: error trying to bind as 
user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials)
Jul 21 17:06:06 linse1 slapd[9604]: conn=13 fd=12 ACCEPT from 
IP=192.168.0.3:27294 (IP=192.168.0.3:389)
Jul 21 17:06:06 linse1 slapd[9604]: connection_input: conn=12 deferring 
operation: binding
Jul 21 17:06:06 linse1 slapd[9604]: conn=12 op=1 RESULT tag=97 err=49 text=
Jul 21 17:06:06 linse1 slapd[9604]: conn=12 fd=13 closed
Jul 21 17:06:06 linse1 slapd[9604]: conn=13 op=1 BIND 
dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128
Jul 21 17:06:06 linse1 slapd[9604]: conn=13 op=1 BIND 
dn="cn=admin,dc=intern,dc=sghd,dc=netz" mech=SIMPLE ssf=0
Jul 21 17:06:06 linse1 sshd[9682]: error: PAM: User not known to the 
underlying authentication module for illegal user paul from 192.168.0.126

Wenn ich mir das so ansehe, dann fällt mir die Zeile mit den "Invalid 
credentials" auf. Da ich noch nicht so tief in der Materie drin bin, 
kann ich nur vermuten, dass dem Kollegen "paul" irgendwelche Rechte bei 
der Access-Kontrolle in der slapd.conf (siehe unten) fehlen. Es wäre 
nett, wenn mal jemand einen Blick auf meine Konfig werfen könnte.

Grüße
Andreas Rau

-----------------------------------------------------------------------------------------------

/etc/ldap.conf (wurde von YAST generiert):

base    dc=intern,dc=sghd,dc=netz
host    ldap.sghd.netz
port    389
sizelimit       0
bind_policy     soft
pam_password    exop
pam_filter      objectclass=posixAccount
pam_member_attribute    member
version 3
scope   sub
ppp_filter      objectclass=posixAccount
ppp_login_attribute     uid
ppp_password_attribute  userPassword
rootbinddn         cn=admin,dc=intern,dc=sghd,dc=netz
nss_map_attribute  uniqueMember uniquemember
nss_base_passwd    dc=intern,dc=sghd,dc=netz?sub
nss_base_shadow    ou=people,dc=intern,dc=sghd,dc=netz?sub
nss_base_group     ou=group,dc=intern,dc=sghd,dc=netz?sub
nss_base_networks  
ou=Networks,ou=Infrastructure,dc=intern,dc=sghd,dc=netz?sub
nss_base_netmasks  
ou=Networks,ou=Infrastructure,dc=intern,dc=sghd,dc=netz?sub
ldap_version    2
ssl     start_tls

/etc/openldap/ldap.conf:

BASE    dc=intern, dc=sghd, dc=netz
URI     ldap.sghd.netz
TLS_CACERT      /etc/openldap/tls/cacert.pem

/etc/openldap/slapd.conf:

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/rfc2307bis.schema
include         /etc/openldap/schema/yast.schema

pidfile         /var/run/slapd/slapd.pid
argsfile        /var/run/slapd/slapd.args

modulepath      /usr/lib/openldap/modules
access to dn.base=""
        by * read

access to dn.base="cn=Subschema"
        by * read

access to attr=userPassword,userPKCS12
        by self write
        by * auth

access to attr=shadowLastChange
        by self write
        by * read

access to *
        by * read

database        bdb
checkpoint      1024    5
cachesize       10000
suffix          "dc=intern,dc=sghd,dc=netz"
rootdn          "cn=admin,dc=intern,dc=sghd,dc=netz"
rootpw          geheim
directory       /var/lib/ldap
index   objectClass     eq
loglevel        416

TLSCACertificateFile   /etc/openldap/tls/cacert.pem
TLSCertificateFile     /etc/openldap/tls/ldapcert.pem
TLSCertificateKeyFile  /etc/openldap/tls/ldapkey.pem