Am 27.03.2013 14:58, schrieb Manfred Kreisl:
Am 27.03.2013 14:27, schrieb Sebastian Reinhardt:
Ich habe inzwischen den sssd wieder entfernt und alles von Hand eingerichtet. Dazu gehörte auch, in /etc/nsswitch.conf passwd und group auf "files ldap" statt "files sss" zu stellen. Ach, stimmt, dort muss ich noch mal nachschauen....nur hatte ich gehofft, das solche "händischen Eingriffe" nicht mehr notwendig seinen....:-( Sind sie auch nicht, zumindest bei mir.
Was ich allerdings hinzufügen muss ist ldap_tls_reqcert = never in der datei sssd.conf
Dann klappt alles prima soweit ich das in meiner Test-VM beurteilen kann
Gruß Manfred
Danke für eure Antworten. Nun hat das nicht funktioniert und ich wollte nicht zu viel Zeit rein stecken, da ich am Ende eh mit Verschlüsselung arbeiten möchte. Also habe ich "einfach" mal das LDAP mit TLS eingerichtet. Dazu gibt es eine nette Anleitung: http://www.opensuse-forum.de/openldap-einrichten-server/themen-f9/t6928-f50/ Das hat auch sehr gut funktioniert, aber ich bekomme trotzdem kein Login via ssh hin! Die Zertifikate wurden automatisch übernommen und ich kann mit dem "Yast2 ldap_browser" und aktiviertem "TLS" in den Baum einloggen und diesen betrachten. Versuche ich mich ein zu loggen, bekomme ich leider nur: ------------------------------------------------------------- 2013-03-28T20:16:28.935310+01:00 dorsy sshd[16624]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=xx 2013-03-28T20:16:30.860737+01:00 dorsy sshd[16622]: error: PAM: Authentication failure for xx from localhost ------------------------------------------------------------- Ich habe nat. auch schon in die sssd.conf, nsswitch.conf und ldap.conf (beide) sowie in die slapd.conf geschaut. Dort ist die Verschlüsselung aktiviert und die "dc"'s und "ou"'s stimmen auch. Eigenartig ist, dass Yast2 neue Benutzer nicht in "ou=people,dc=meinserver,dc=o" anlegt, sondern in "dc=meinserver,dc=o". Ich habe den Nutzer ant. auch schon verschoben/ kopiert (mit LAM) und an beiden Stellen stehen gehabt. Kein Erfolg. Wo kann ich ansetzten? -- Mit freundlichen Grüßen Sebastian Reinhardt -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org