-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Ulrich Hiller [21.07.2010 14:59]:
Hallo, tut mir Leid, dass ich mich so missverständlich ausgedrückt habe. Hier nochmal das Problem: Wir verwalten unsere Benutzer über einen ldap server, was bisher immer sehr gut geklappt hat. Jetzt wurde eine opensuse 11.3 x86_64 Kiste aufgesetzt. Ich versuche mich als so ein Benutzer einzuloggen. Das schlägt fehl. In /var/log/messages sehe ich:
nss_ldap: could not search LDAP server - Server is unavailable gkr-pam: error looking up user information for: [hier steht der Benutzername] User not known to the underlying authentication module
Es gibt 3 Workarounds: 1. Benutzer lokal anlegen, ohne ldap 2. Im /etc/ldap.conf tls_checkpeer no 3. Im /etc/nscd.conf enable-cache passwd no oder 'rcnscd stop'
Alle 3 Workarounds sind für uns nicht gangbar. 1. Wir wollen unsere Benutzer zentral verwalten 2. Wir hätten gerne einen tls-Zertifikatscheck 3. Ohne nscd entsteht schon bei einfachen Kommandos wie 'ls -l' eine Netzwerklast Richting ldap-Server
Übrigens: 'getent passwd' zeigt alle ldap-Benutzer an. Und .... bis opensuse 11.2 hat alles super funktioniert.
Gruß, ulrich
Zunächst einmal ist TOFU[1] böse. Ich sitze hier an einer openSUSE 11.3 x86_64 und melde mich ohne Probleme am LDAP an. Allerdings nutze ich keine SSL-Verschlüsselung. Und keinen openLDAP-Server, wir haben hier eine Farm von SUN Java Directory Servern stehen. Man kann trefflich im Web suchen (z. B. nach "ldaps ssl passwd") und alle möglichen (Teil-)Ursachen finden, z. B. <http://www.ozzu.com/de/unix-linux-forum/openldap-ssl-tls-problem-mit-pam-nss-t98282.html> oder <http://old.nabble.com/Can%27t-get-SSL-working-properly-with-openSUSE-LDAP-client-%28works-with-ldapsearch-%2b-SSL-though%29-td13686328.html>. Vielleicht helfen die Seiten Dir auch weiter? HTH Werner [1] http://de.wikipedia.org/wiki/TOFU -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.15 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkxG9J4ACgkQk33Krq8b42O4BwCeJ06r2DKPZY54fPIQi+/j8/LP Gr0Anj0iYErxQJTA7brELCfGZdN7Uczz =Lnay -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org