Andreas Rau <linux@raulinse.de> writes:
Dieter Kluenter schrieb:
Andreas Rau <linux@stoeckel-grimmler.de> writes:
[...]
{ssh linse.sghd.netz -l paul}:
Jul 21 22:01:46 linse1 slapd[12298]: conn=13 fd=9 ACCEPT from IP=192.168.0.3:3482 (IP=192.168.0.3:389) Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=0 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=0 RESULT tag=97 err=49 text= Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=1 UNBIND Jul 21 22:01:46 linse1 slapd[12298]: conn=13 fd=9 closed Jul 21 22:01:46 linse1 sshd[12392]: Invalid user bernd from 192.168.0.99
Das ist eine Meldung von sshd, nicht von slapd! Der User 'bernd' scheint in der Form nicht zu exitieren.
password: {geheim}:
[...]
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=1 SRCH base="dc=intern,dc=sghd,dc=netz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=bernd))" [...]
Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: search access to "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "uid" requested Jul 21 22:10:03 linse1 slapd[12298]: <= root access granted Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter 5 Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter_and 5 Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter 5 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 BIND anonymous mech=implicit ssf= Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 BIND dn="uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access to "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "userPassword" requested Jul 21 22:10:03 linse1 slapd[12298]: => dn: [1] Jul 21 22:10:03 linse1 slapd[12298]: => dn: [2] cn=subschema Jul 21 22:10:03 linse1 slapd[12298]: => acl_get: [3] attr userPassword Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: access to entry "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz", attr "userPassword" requested Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: to all values by "", (=n) Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: self Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: * Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] applying auth(=x) (stop)
Die Regel 'access to attrs=userPassword by auth' wird hier angewendet.
Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] mask: auth(=x) Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access granted by auth(=x) Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 RESULT tag=97 err=49 text=
Error 49 bedeutet 'INVALID CREDENTIALS', d.h DN oder Password, oder beides sind ungültig (ungültig muss nicht falsch sein).
Jul 21 22:10:03 linse1 sshd[12420]: pam_ldap: error trying to bind as user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials)
Das ist wieder eine Meldung von sshd [...]
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=4 RESULT tag=97 err=49 text=
Hier ist wieder der Error 49 von slapd
Jul 21 22:10:03 linse1 sshd[12420]: pam_ldap: error trying to bind as user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials)
Das ist wieder eine Fehlermeldung von sshd
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" mech=SIMPLE ssf=0 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 RESULT tag=97 err=0 text=
Jul 21 22:10:03 linse1 sshd[12418]: error: PAM: User not known to the underlying authentication module for illegal user paul from benhur1.sghd.netz
der User paul vom Rechner benhur1.sghd.net ist unbekannt. Wenn ich mir die Konfiguration von slapd und PAM ansehe, taucht nirgendwo benhur1.sghd.netz auf.
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 fd=9 closed Jul 21 22:10:03 linse1 sshd[12418]: Failed keyboard-interactive/pam for invalid user paul from 192.168.0.99 port 4441 ssh2
Das ist wieder die Fehlermeldudng von sshd, der User paul, auf dem Rechner 192.168.0.99 ist unbekannt. Ich denke, du solltest erst einmal sshd richtig konfigurieren! Anscheinend verwendest du keinen vernünftigen LDAP Browser, daher solltest du mit slapcat(8) einmal einen Dump der LDAP Database machen, um zu prüfen, wie die Einträge wirklich aussehen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8EF7B6C6