Re: LDAP Authentifizierung via PAM

21 Jul 2005

      Dieter Kluenter schrieb:
...
...
...
Andreas Rau <linux@stoeckel-grimmler.de> writes:
...
Hallo Liste,
nach den ersten Erfolgen einen LDAP-Server unter SL 9.3 aufzusetzen
und diesen zum Laufen zu bringen, möchte ich nun die
Benutzerverwaltung komplett darüber laufen lassen. Nunmehr habe ich
aber das Problem, dass sich die angelegten Benutzer nicht am System
(login) anmelden können.
[...]
Jul 21 17:06:06 linse1 sshd[9684]: pam_ldap: error trying to bind as
...
...
user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid
credentials)
[...]
...
Wenn ich mir das so ansehe, dann fällt mir die Zeile mit den "Invalid
credentials" auf. Da ich noch nicht so tief in der Materie drin bin,
kann ich nur vermuten, dass dem Kollegen "paul" irgendwelche Rechte
bei der Access-Kontrolle in der slapd.conf (siehe unten) fehlen. Es
wäre nett, wenn mal jemand einen Blick auf meine Konfig werfen könnte.
Entweder exitistiert der Kollege paul nicht mit diesem distinguished
name, oder das das Password ist falsch. Sieh dir mal dein Eintrag mit
einem LDAP-Editor oder LDAP Browser an.
Mit dem geänderten loglevel hab ich mir nochmals die Ausgabe näher 
bertrachtet (siehe unten;geschweifte Klammern stellen Eingaben an der 
Konsole dar).

Um sicher zu gehen, dass kein Problem mit TLS vorliegt, habe ich dieses 
vorübergehend abgeschaltet. Bezüglich des Passworts habe ich dieses 
unter Zuhilfenahme von YAST nochmals eingegeben. Da ich mich via ssh 
anmelde, habe ich die entsprechende Konfiguration aus der Dokumentation 
zum Paket von pam_ldap nach /etc/pam.d/sshd kopiert.

Nach wie vor leider negativ.
Gruß
Andreas Rau

---------------------Logauszug --------------------------

{ssh linse.sghd.netz -l paul}:

Jul 21 22:01:46 linse1 slapd[12298]: conn=13 fd=9 ACCEPT from 
IP=192.168.0.3:3482 (IP=192.168.0.3:389)
Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=0 BIND 
dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128
Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=0 RESULT tag=97 err=49 text=
Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=1 UNBIND
Jul 21 22:01:46 linse1 slapd[12298]: conn=13 fd=9 closed
Jul 21 22:01:46 linse1 sshd[12392]: Invalid user bernd from 192.168.0.99

password: {geheim}:

[...]

Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=1 SRCH 
base="dc=intern,dc=sghd,dc=netz" scope=2 deref=0 
filter="(&(objectClass=posixAccount)(uid=bernd))"
[...]

Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: search access to 
"uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "uid" requested
Jul 21 22:10:03 linse1 slapd[12298]: <= root access granted
Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter 5
Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter_and 5
Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter 5
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=1 SEARCH RESULT tag=101 
err=0 nentries=1 text=
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 BIND anonymous 
mech=implicit ssf=0
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 BIND 
dn="uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" method=128
Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access to 
"uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "userPassword" requested
Jul 21 22:10:03 linse1 slapd[12298]: => dn: [1]
Jul 21 22:10:03 linse1 slapd[12298]: => dn: [2] cn=subschema
Jul 21 22:10:03 linse1 slapd[12298]: => acl_get: [3] attr userPassword
Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: access to entry 
"uid=paul,ou=people,dc=intern,dc=sghd,dc=netz", attr "userPassword" 
requested
Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: to all values by "", (=n)
Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: self
Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: *
Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] applying auth(=x) 
(stop)
Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] mask: auth(=x)
Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access 
granted by auth(=x)
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 RESULT tag=97 err=49 text=

Jul 21 22:10:03 linse1 sshd[12420]: pam_ldap: error trying to bind as 
user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials)

Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=3 BIND 
dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=3 BIND 
dn="cn=admin,dc=intern,dc=sghd,dc=netz" mech=SIMPLE ssf=0
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=3 RESULT tag=97 err=0 text=
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=4 BIND anonymous 
mech=implicit ssf=0
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=4 BIND 
dn="uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" method=128
Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access to 
"uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "userPassword" requested
Jul 21 22:10:03 linse1 slapd[12298]: => dn: [1]
Jul 21 22:10:03 linse1 slapd[12298]: => dn: [2] cn=subschema
Jul 21 22:10:03 linse1 slapd[12298]: => acl_get: [3] attr userPassword
Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: access to entry 
"uid=paul,ou=people,dc=intern,dc=sghd,dc=netz", attr "userPassword" 
requested
Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: to all values by "", (=n)
Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: self
Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: *
Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] applying auth(=x) 
(stop)
Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] mask: auth(=x)
Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access 
granted by auth(=x)
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=4 RESULT tag=97 err=49 text=
Jul 21 22:10:03 linse1 sshd[12420]: pam_ldap: error trying to bind as 
user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials)
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 BIND 
dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 BIND 
dn="cn=admin,dc=intern,dc=sghd,dc=netz" mech=SIMPLE ssf=0
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 RESULT tag=97 err=0 text=

Jul 21 22:10:03 linse1 sshd[12418]: error: PAM: User not known to the 
underlying authentication module for illegal user paul from 
benhur1.sghd.netz

Jul 21 22:10:03 linse1 slapd[12298]: conn=15 fd=9 closed
Jul 21 22:10:03 linse1 sshd[12418]: Failed keyboard-interactive/pam for 
invalid user paul from 192.168.0.99 port 4441 ssh2