On Tue, Aug 24, 2010 at 09:46:03AM +0200, Ulrich Hiller wrote:
Hallo, der Thread ist schon etwas älter, aber es hat sich hier was Neues ergeben. Zur Erinnerung: Seit opensuse 11.3 hatten wir Probleme mit ldap und der TLS-Prüfung. Am ldap-Server registrierte Benutzer konnten sich nicht mehr am opensuse-11.3-client einloggen (bis 11.2 ging es noch). Fehlermeldung:
nss_ldap: could not search LDAP server - Server is unavailable gkr-pam: error looking up user information for: [hier steht der Benutzername] User not known to the underlying authentication module
Abhilfe: 1. TLS-Prüfung im ldap.conf abschalten mit "tls_checkpeer no" 2. nscd abschalten oder zumindest im nscd.conf "enable-cache passwd no"
Beides sind sehr unbefriedigende Lösungen für uns. Jetzt kommt die wahrscheinliche Ursache: Es ist mit AppArmor verbunden, bzw. AppArmor verhindert den nscd-Zugang zum erforderlichen Zertifikat (weiß nicht wie ich das besser formulieren soll :-/ ) Jetzt also die Lösung, mit der ich leben kann: 1.apparmor abschalten (rcapparmor stop) und beim boot gar nicht erst starten oder besser 2. folgende Zeilen ins /etc/apparmor.d/abstractions/ssl_certs:
/usr/share/ca-certificates/ r, /usr/share/ca-certificates/* r, /usr/share/ca-certificates/mozilla/ r, /usr/share/ca-certificates/mozilla/* r, /etc/openldap r, /etc/openldap/cacerts r, /etc/openldap/cacerts/* r,
und 'rcapparmor restart'.
Mach bitte dazu einen Bug mit Referenz auf http://lists.opensuse.org/opensuse-de/2010-08/msg01085.html auf. Das gehört entweder in den jeweiligen Paketen der betroffenen Komponenten oder in einem der AppArmor-Pakete "gefixt". Lars -- Lars Müller [ˈlaː(r)z ˈmʏlɐ] Samba Team SUSE Linux, Maxfeldstraße 5, 90409 Nürnberg, Germany