Am 15.04.2013 23:33, schrieb Sebastian Reinhardt:
Am 15.04.2013 17:56, schrieb Sebastian Reinhardt:
Am 28.03.2013 20:30, schrieb Sebastian Reinhardt:
Danke für eure Antworten. Nun hat das nicht funktioniert und ich wollte nicht zu viel Zeit rein stecken, da ich am Ende eh mit Verschlüsselung arbeiten möchte. Also habe ich "einfach" mal das LDAP mit TLS eingerichtet. Dazu gibt es eine nette Anleitung: http://www.opensuse-forum.de/openldap-einrichten-server/themen-f9/t6928-f50/
Das hat auch sehr gut funktioniert, aber ich bekomme trotzdem kein Login via ssh hin! Die Zertifikate wurden automatisch übernommen und ich kann mit dem "Yast2 ldap_browser" und aktiviertem "TLS" in den Baum einloggen und diesen betrachten. Versuche ich mich ein zu loggen, bekomme ich leider nur: ------------------------------------------------------------- 2013-03-28T20:16:28.935310+01:00 dorsy sshd[16624]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=xx 2013-03-28T20:16:30.860737+01:00 dorsy sshd[16622]: error: PAM: Authentication failure for xx from localhost ------------------------------------------------------------- Ich habe nat. auch schon in die sssd.conf, nsswitch.conf und ldap.conf (beide) sowie in die slapd.conf geschaut. Dort ist die Verschlüsselung aktiviert und die "dc"'s und "ou"'s stimmen auch. Eigenartig ist, dass Yast2 neue Benutzer nicht in "ou=people,dc=meinserver,dc=o" anlegt, sondern in "dc=meinserver,dc=o". Ich habe den Nutzer ant. auch schon verschoben/ kopiert (mit LAM) und an beiden Stellen stehen gehabt. Kein Erfolg.
Wo kann ich ansetzten?
Nachdem ich nun auf meinem Testrechner, bis auf oben genanntes Problem, den LDAP-Server mit TLS erfolgreich aufgesetzt habe, versuche ich nun LDAP auf dem "richtigen" Server zu konfigurieren. Leider ohne Erfolg! Wenn ich mit Yast" versuche den LDAP-Server einzurichten, dann erhalte ich nur eine Fehlermeldung, das es fehlgeschlagen ist (beim abschließenden Speichern). Die angebotenen Details lassen sich in diesem Yast2- Dialogfenster aber nicht aufrufen. In "messages" erhalte ich folgendes: -------------------------------------------------------------------- Apr 15 17:29:22 lmvserver.lmv slapadd[8054]: DIGEST-MD5 common mech free Apr 15 17:29:23 lmvserver.lmv systemd[1]: Starting LSB: OpenLDAP Server (slapd)... Apr 15 17:29:23 lmvserver.lmv slapd[8087]: @(#) $OpenLDAP: slapd 2.4.33 $ Apr 15 17:29:23 lmvserver.lmv slapd[8088]: unable to open pid file "/var/run/slapd/slapd.pid": 13 (Permission denied) Apr 15 17:29:23 lmvserver.lmv slapd[8088]: DIGEST-MD5 common mech free Apr 15 17:29:23 lmvserver.lmv slapd[8088]: slapd stopped. Apr 15 17:29:23 lmvserver.lmv slapd[8088]: connections_destroy: nothing to destroy. Apr 15 17:29:23 lmvserver.lmv startproc[8086]: startproc: exit status of parent of /usr/lib/openldap/slapd: 1 Apr 15 17:29:23 lmvserver.lmv ldap[8066]: Starting ldap-server..failed Apr 15 17:29:23 lmvserver.lmv systemd[1]: ldap.service: control process exited, code=exited status=7 Apr 15 17:29:23 lmvserver.lmv systemd[1]: Failed to start LSB: OpenLDAP Server (slapd). Apr 15 17:29:23 lmvserver.lmv systemd[1]: Unit ldap.service entered failed state -------------------------------------------------------------------- Das Verzeichnis "/var/run/slapd/" exsitiert und es ist nur folgendes enthalten: -------------------------------------------------------------------- lmvserver:/var/lib/ldap # l insgesamt 16 drwx------ 2 ldap ldap 4096 15. Apr 17:29 ./ drwxr-xr-x 58 root root 4096 15. Apr 13:31 ../ -rw-r--r-- 1 ldap ldap 148 15. Apr 17:29 DB_CONFIG -rw-r--r-- 1 ldap ldap 845 27. Jan 03:11 DB_CONFIG.example lmvserver:/var/lib/ldap # cat DB_CONFIG set_cachesize 0 15000000 1 set_lg_regionmax 262144 set_lg_bsize 2097152 set_flags DB_LOG_AUTOREMOVE set_lk_max_locks 30000 set_lk_max_objects 30000 lmvserver:/var/lib/ldap # --------------------------------------------------------------------
Ich habe auch schon den Bug im Yast gefunden: https://bugzilla.novell.com/show_bug.cgi?id=799660 Die Meldung kommt bei mir auch beim Starten von "Yast2 ldap-server" auf beiden Rechnern, aber auf dem "Probierrechner" geht es.....zum Verzweifeln!
Ok, hab es gefunden: das Verzeichnis "var/run/slapd" gehörte dem Benutzer/Gruppe "root:root". Nach dem Ändern in "ldap:ldap" geht es. Warum das allerdings nicht richtig gesetzt war, keine Ahnung (hab nichts dran gemacht)......Ich habe das Verzeichnis einfach gelöscht, die Gruppe "ldap" und Nutzer "ldap" gelöscht, sowie "openldap"- Server und -Clientpakete "zwangsweise" neu geupdatet / installiert. Danach waren Nutzer und Gruppe "ldap" wieder da und ein erneutes Setup des LDAP-Servers mit Yast hat auf Anhieb funktioniert....Warum? Keine Ahnung!
Da ich nun das ganze erfolgreich mit TLS aufgesetzt habe und es funktioniert, können wir das hier schliessen! Tip für alle, die das gleiche machen wollen: Haltet euch an die Anleitung aus dem OpenSUSE Forum und genaues Augenmerk auf die Übereinstimmung von "Common name" und Hostname des Servers richten! Außerdem sollte man den Server- LDAP- Client auch über den Hostnamen des Servers und nicht über "localhost" (Voreinstellung in YaST2 ldap) zugreifen lassen (Hostname in Zertifikat ist nicht "localhost"!). Sonst hat der Server selbst keinen Zugriff aufs LDAP! -- Mit freundlichen Grüßen Sebastian Reinhardt -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org