Hallo, ich versuche gerade dem sssd beizubringen ohne TLS sich mit dem LDAP zu verbinden, doch leider ohne Erfolg. Doch scheinbar wird TLS zwingend voraus gesetzt. In der /etc/ldap.conf habe ich ssl no stehen und in der /etc/sssd/sssd.conf habe ich ldap_id_use_start_tls = False stehen. Den Yast Client auf ich auf die Version yast2-ldap-client-2.23.1-5.1 upgedated. getent passwd zeigt mir nicht die LDAP Benutzer an. vsftp spuckt folgende Meldung aus: pam_sss(vsftpd:auth): received for user test: 9 (Authentication service cannot retrieve authentication info) Oder gibt es eine Möglichkeit sssd abzuschalten? Liebe Grüße Andreas -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.parcelchecker.de | www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Freitag, 30. November 2012, 13:21:51 schrieb Andreas Ernst:
Ich bin zwar nicht mehr am laufenden wegen sss und yast2, aber man kann den Haken beim ldap-client rausnehmen und dann prüfen ob sss abgeschaltet ist (Runlevel) weiß nicht ob das schon behoben ist. Oder man kopiert (importiert) sich das ldap Zertifikat in den Rechner damit ldap funktioniert. Ich habe es aufgegeben, denn da war zu viel im argen (nscd,nss...) -- mit freundlichen Grüßen / best Regards. Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fri, 30 Nov 2012 13:21:51 +0100 schrieb Andreas Ernst <ae@ae-online.de>:
[...] Welchen Host und welchen Port hast du denn für nsswitch konfiguriert? (die /etc/ldap.conf ist die Konfigurationsdatei für nsswitch) Wie wird den slapd gestartet? Was steht in /etc/sysconfig/openldap? Wenn dort OPENLDAP_START_LDAPS=yes steht, setze dies auf no. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 02.12.12 10:25, schrieb Dieter Klünter:
/etc/ldap.conf base dc=ae-online,dc=de ldap_version 3 bind_policy soft pam_lookup_policy yes pam_password exop nss_initgroups_ignoreusers root,ldap nss_schema rfc2307bis nss_map_attribute uniqueMember member ssl no uri ldap://127.0.0.1 pam_filter objectClass=posixAccount /etc/sysconfig/openldap OPENLDAP_START_LDAP="yes" OPENLDAP_START_LDAPS="no" OPENLDAP_START_LDAPI="no" OPENLDAP_SLAPD_PARAMS="" OPENLDAP_USER="ldap" OPENLDAP_GROUP="ldap" OPENLDAP_CHOWN_DIRS="yes" OPENLDAP_LDAP_INTERFACES="localhost" OPENLDAP_LDAPS_INTERFACES="" OPENLDAP_LDAPI_INTERFACES="" OPENLDAP_REGISTER_SLP="yes" OPENLDAP_KRB5_KEYTAB="" OPENLDAP_CONFIG_BACKEND="ldap" -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.parcelchecker.de | www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 30.11.2012 um 13:21 schrieb Andreas Ernst <ae@ae-online.de>:
Was sagt denn ein tcpdump? Da Du localhost fragst, würde ich an Deiner Stelle ein tcpdump -n -i lo -s 16436 -w /tmp/tcpdump port 389 machen und dann /tmp/tcpdump in wireshark laden und mir das ansehen. Rainer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 02.12.12 10:56, schrieb Rainer Sokoll:
Jetzt habe ich soviel ausprobiert, dass ich hoffe, dass die Einstellungen wieder stimmen: Dec 4 17:42:15 linux slapd[1710]: conn=1077 op=0 do_extended: unsupported operation "1.3.6.1.4.1.1466.20037" Dec 4 17:42:15 linux slapd[1710]: conn=1077 op=0 RESULT tag=120 err=2 text=unsupported extended operation Dec 4 17:42:28 linux slapd[1710]: conn=1077 fd=20 closed (connection lost) "unsupported extended operation" leider habe ich dazu nichts erhellendes gefunden. An dieser Stelle habe ich dann aufgeben, weil es schon zu lange gedauert hat von 11.4 nach 12.2 den LDAP aufzusetzen. Also habe ich die config gelöscht und den LDAP mit YAST aufgesetzt, Zertifikate erstellt und jetzt geht es. Danke. -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.parcelchecker.de | www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 05.12.2012 um 12:29 schrieb Andreas Ernst <ae@ae-online.de>:
Dec 4 17:42:15 linux slapd[1710]: conn=1077 op=0 do_extended: unsupported operation "1.3.6.1.4.1.1466.20037"
Das ist STARTTLS. Rainer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Andreas Ernst [30.11.2012 13:21]:
Der LDAP-Client für die 12.1 kann sssd deaktivieren. Ist irgendwie beim Umsetzen auf die 12.2 weggefallen, es gibt wohl auch einen Bugeport dazu, aber ich weiß nicht, ob das schon umgesetzt wurde. Siehe etwa <https://bugzilla.novell.com/show_bug.cgi?id=775167>.
getent passwd zeigt mir nicht die LDAP Benutzer an.
Dazu gibt es einen separaten Haken zu setzen, "Benutzeraufzählung aktivieren" oder so - ich habe gerade keine 12.2 zur Hand. getent passwd <ldapusername> sollte aber die Zeile anzeigen.
Wenn Du in der /etc/nsswitch.conf die "sss" durch "ldap" ersetzt, könnte es am sssd vorbei gehen. HTH Werner -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.18 (GNU/Linux) Comment: Using GnuPG with undefined - http://www.enigmail.net/ iEYEARECAAYFAlC/RX4ACgkQk33Krq8b42OZ3gCgg+bBju3jQvi3MtTkrewAGFd9 KSkAnjx97S19vOoQRsb2CskcGjBi7EkQ =rj5E -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Freitag, 30. November 2012, 13:21:51 schrieb Andreas Ernst:
Ich bin zwar nicht mehr am laufenden wegen sss und yast2, aber man kann den Haken beim ldap-client rausnehmen und dann prüfen ob sss abgeschaltet ist (Runlevel) weiß nicht ob das schon behoben ist. Oder man kopiert (importiert) sich das ldap Zertifikat in den Rechner damit ldap funktioniert. Ich habe es aufgegeben, denn da war zu viel im argen (nscd,nss...) -- mit freundlichen Grüßen / best Regards. Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fri, 30 Nov 2012 13:21:51 +0100 schrieb Andreas Ernst <ae@ae-online.de>:
[...] Welchen Host und welchen Port hast du denn für nsswitch konfiguriert? (die /etc/ldap.conf ist die Konfigurationsdatei für nsswitch) Wie wird den slapd gestartet? Was steht in /etc/sysconfig/openldap? Wenn dort OPENLDAP_START_LDAPS=yes steht, setze dies auf no. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 02.12.12 10:25, schrieb Dieter Klünter:
/etc/ldap.conf base dc=ae-online,dc=de ldap_version 3 bind_policy soft pam_lookup_policy yes pam_password exop nss_initgroups_ignoreusers root,ldap nss_schema rfc2307bis nss_map_attribute uniqueMember member ssl no uri ldap://127.0.0.1 pam_filter objectClass=posixAccount /etc/sysconfig/openldap OPENLDAP_START_LDAP="yes" OPENLDAP_START_LDAPS="no" OPENLDAP_START_LDAPI="no" OPENLDAP_SLAPD_PARAMS="" OPENLDAP_USER="ldap" OPENLDAP_GROUP="ldap" OPENLDAP_CHOWN_DIRS="yes" OPENLDAP_LDAP_INTERFACES="localhost" OPENLDAP_LDAPS_INTERFACES="" OPENLDAP_LDAPI_INTERFACES="" OPENLDAP_REGISTER_SLP="yes" OPENLDAP_KRB5_KEYTAB="" OPENLDAP_CONFIG_BACKEND="ldap" -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.parcelchecker.de | www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 30.11.2012 um 13:21 schrieb Andreas Ernst <ae@ae-online.de>:
Was sagt denn ein tcpdump? Da Du localhost fragst, würde ich an Deiner Stelle ein tcpdump -n -i lo -s 16436 -w /tmp/tcpdump port 389 machen und dann /tmp/tcpdump in wireshark laden und mir das ansehen. Rainer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 02.12.12 10:56, schrieb Rainer Sokoll:
Jetzt habe ich soviel ausprobiert, dass ich hoffe, dass die Einstellungen wieder stimmen: Dec 4 17:42:15 linux slapd[1710]: conn=1077 op=0 do_extended: unsupported operation "1.3.6.1.4.1.1466.20037" Dec 4 17:42:15 linux slapd[1710]: conn=1077 op=0 RESULT tag=120 err=2 text=unsupported extended operation Dec 4 17:42:28 linux slapd[1710]: conn=1077 fd=20 closed (connection lost) "unsupported extended operation" leider habe ich dazu nichts erhellendes gefunden. An dieser Stelle habe ich dann aufgeben, weil es schon zu lange gedauert hat von 11.4 nach 12.2 den LDAP aufzusetzen. Also habe ich die config gelöscht und den LDAP mit YAST aufgesetzt, Zertifikate erstellt und jetzt geht es. Danke. -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.parcelchecker.de | www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 05.12.2012 um 12:29 schrieb Andreas Ernst <ae@ae-online.de>:
Dec 4 17:42:15 linux slapd[1710]: conn=1077 op=0 do_extended: unsupported operation "1.3.6.1.4.1.1466.20037"
Das ist STARTTLS. Rainer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
Andreas Ernst -
Dieter Klünter -
Günther J. Niederwimmer -
Rainer Sokoll -
Werner Flamme