Sven Gehr
Hallo,
schrieb Dieter Kluenter:
Sven Gehr
writes: schrieb Dieter Kluenter:
schrieb Sven Gehr:
Nur so am Rande. Kann es sein das meine LDAP-Probleme aus den Zertifikat-Problemen resultieren und wir zuerst diese Lösen sollten?
Ich denke, das sind mehrere Ursachen. Zum Einen das Mißverständnis von SASL -> saslauthd, dann die stillschweigende Voraussetzung, daß saslauthd eine Authentifizierung gegen ldap vornehmen kann. Versuche das alles erst einmal ohne SSL oder TLS, wenn das funktioniert, dann kannst du TLS hinzufügen.
Das hat ja ohne TLS/SSL funktioniert. Wie schon mehrfach gesagt konnte ich mich an der lokalen Maschiene mit dem User 'sven' welcher ja bekantlich NUR im LDAP-VErzeichnis existierte anmelden.
ERGO funktionierte PAM in Zusammenarbeit mit LDAP. Ich hatte lediglich das Problem das die Eingabeaufforderung nicht sven vor dem @ zeigte sondern
I have no name...@
Das Homeverzeichnis /data/home/sven existiert aber, oder? Was zeigt denn 'whoami'. Sonst liegt der Fehler darin,daß irgendeine Loginanwendung, XDM, KDM oder sonstige noch /etc/passwd prüfen und dort keinen Eintrag finden. Das ist dann aber ein Problem der PAM-Konfiguration. ... Ich kann diesen Fehler nicht reproduzieren. Ich habe jetzt mal einen Testuser test2 als Posixaccount angelegt, nur im Verzeichnisdienst, und manuell das Verzeichnis /home/test2 angelegt. auf der Konsole kann ich mich als test2 mit Passwort einloggen und bekomme /home/test2 ,----[ Testuser ] | dieter@orange:~> su test2 | Password: | test2@orange:/home/dieter> cd | test2@orange:~> `---- Ich möchte test2 jetzt nicht mit einem Windowmanager starten oder über ein graphisches Login gehen, aber du siehst, daß das prinzipiell funktioniert.
Obwohl ich das Prinzip mitlerweil schon verstanden habe trete ich auf der Stelle und nix funktioniert. Ich weiß schon dass das mein Problem ist, aber wenn man nach fast einem Jahr ein und dasselbe Problem nochimmer nicht gelöst hat bekommt man Zweifel ob man einfach zu doof ist oder das System einfach zu unausgereift.
Diese TLS-Geschichte ist mir rätselhaft, daher versuche doch erst einmal die simpelste Form. In slapd.conf gib nur den Pfad auf das Hostzertifikat und Key bekannt, kein cacert. Deine bereits erstellten Zertifikate sollten dafür genügen. TLSCertificateFile /etc/openldap/cert/ldapcert.pem TLSCertificateKeyFile /etc/openldap/cert/ldapkey.pem Die Pfade aber bitte auf deine Zertifikate setzen :-) In /etc/openldap/ldap.conf nur TLS_REQCERT never Jetzt solltest du mit ldapsearch -d3 -H ldap://testserver.kundenservice -b "" -s base + -x -Z die Verbindung beobachten können. Über Error 19 und self signed certificate solltest du dir keinen Kopf machen, die Verbindung wird trotzdem verschlüsselt. Wenn da keine Verbindung zustande kommt, weiß ich auch nicht weiter :-( Diese Methode ist eigentlich nicht zu empfehlen,da hier keine Integritätsprüfung vorgenommen werden kann, sondern nur eine Verschlüsselung des Datentransports, aber für eine Funktionsprüfung genügt es. -Dieter -- Dieter Klünter | Systemberatung Tel.: +49.40.64861967 Fax : +49.40.64891521 http://www.avci.de