Hallo Liste, nach den ersten Erfolgen einen LDAP-Server unter SL 9.3 aufzusetzen und diesen zum Laufen zu bringen, möchte ich nun die Benutzerverwaltung komplett darüber laufen lassen. Nunmehr habe ich aber das Problem, dass sich die angelegten Benutzer nicht am System (login) anmelden können. Analog zu den Vorgaben aus dem "Adminhandbuch" habe ich nun die Dateien "pam_unix2.conf" und "nsswitch.conf" angepasst bzw. mittels Yast/LDAP-Client anpassen lassen. Erwartungsgemäß funktionuierte danach eine Anmeldung von Usern aus dem LDAP-Verzeichnis nicht. Auch das Kap. 12 aus dem LDAP-Buch von Dieter Kluenter brachte mich nicht so recht weiter. Egal welche Modifikationen ich an nsswitch.conf mache (Suse-Adminhandbuch, Kap. 29.5/LDAP-Buch, Kap. 12), bekomme ich bei meinen Tests mittels getent passwd bzw. getent group keine Einträge aus dem LDAP-Verzeichnis angezeigt. Bei Anmeldeversuchen bekomme ich in /var/log/warn folgende Meldung angezeigt: "PAM: User not known to the underlying authentication module for illegal user paul from 192.168.0.126" Hat jemand eine Idee wo ich bei der Fehlersuche ansetzen könnte? Meine Konfigurationsfiles liefere ich bei Bedarf gerne nach. Viele Grüße Andreas Rau
--- Ursprüngliche Nachricht --- Von: Andreas Rau <linux@stoeckel-grimmler.de> Hallo Liste,
nach den ersten Erfolgen einen LDAP-Server unter SL 9.3 aufzusetzen und diesen zum Laufen zu bringen, möchte ich nun die Benutzerverwaltung komplett darüber laufen lassen. Nunmehr habe ich aber das Problem, dass sich die angelegten Benutzer nicht am System (login) anmelden können.
Analog zu den Vorgaben aus dem "Adminhandbuch" habe ich nun die Dateien "pam_unix2.conf" und "nsswitch.conf" angepasst bzw. mittels Yast/LDAP-Client anpassen lassen. Erwartungsgemäß funktionuierte danach eine Anmeldung von Usern aus dem LDAP-Verzeichnis nicht. Auch das Kap. 12 aus dem LDAP-Buch von Dieter Kluenter brachte mich nicht so recht weiter.
Egal welche Modifikationen ich an nsswitch.conf mache (Suse-Adminhandbuch, Kap. 29.5/LDAP-Buch, Kap. 12), bekomme ich bei meinen Tests mittels getent passwd bzw. getent group keine Einträge aus dem LDAP-Verzeichnis angezeigt.
Bei Anmeldeversuchen bekomme ich in /var/log/warn folgende Meldung angezeigt: "PAM: User not known to the underlying authentication module for illegal user paul from 192.168.0.126"
Hat jemand eine Idee wo ich bei der Fehlersuche ansetzen könnte?
Meine Konfigurationsfiles liefere ich bei Bedarf gerne nach.
Hi, ich bin auch dabei das gleich zu machen wie bin aber schon etwas weiter :) Kannst du mal deine Konfigfiles Posten / Schicken. Also du Solltest je nach dem wie du dich einlogst auch die /etc/pam.d/sshd bzw. /etc/pam.d/login ändern. Zu dem Thema gibt es von Linux-Magazine eine Tolle Zeitschrift: http://www.linux-magazin.de/Artikel/ausgabe/2004/05 Gruß Merenda -- 5 GB Mailbox, 50 FreeSMS http://www.gmx.net/de/go/promail +++ GMX - die erste Adresse f�r Mail, Message, More +++
Hallo, Andreas Rau <linux@stoeckel-grimmler.de> writes:
Hallo Liste,
nach den ersten Erfolgen einen LDAP-Server unter SL 9.3 aufzusetzen und diesen zum Laufen zu bringen, möchte ich nun die Benutzerverwaltung komplett darüber laufen lassen. Nunmehr habe ich aber das Problem, dass sich die angelegten Benutzer nicht am System (login) anmelden können. [...] Bei Anmeldeversuchen bekomme ich in /var/log/warn folgende Meldung angezeigt: "PAM: User not known to the underlying authentication module for illegal user paul from 192.168.0.126"
Hat jemand eine Idee wo ich bei der Fehlersuche ansetzen könnte?
Es hat den Anschein, als ob der User paul nicht gefunden wird. Erhöhe doch einmal in slapd.conf den loglevel auf 416 (32+128+256) und beobachte was passiert, wenn sich jemand einlogged. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8EF7B6C6
Dieter Kluenter schrieb:
Hallo,
Andreas Rau <linux@stoeckel-grimmler.de> writes:
Hallo Liste,
nach den ersten Erfolgen einen LDAP-Server unter SL 9.3 aufzusetzen und diesen zum Laufen zu bringen, möchte ich nun die Benutzerverwaltung komplett darüber laufen lassen. Nunmehr habe ich aber das Problem, dass sich die angelegten Benutzer nicht am System (login) anmelden können.
[...]
Bei Anmeldeversuchen bekomme ich in /var/log/warn folgende Meldung angezeigt: "PAM: User not known to the underlying authentication module for illegal user paul from 192.168.0.126"
Es hat den Anschein, als ob der User paul nicht gefunden wird. Erhöhe doch einmal in slapd.conf den loglevel auf 416 (32+128+256) und beobachte was passiert, wenn sich jemand einlogged.
-Dieter
Also wenn ich den Loglevel erhöhe und versuche mit ssh auf dem Server einzuloggen, dann sehe ich am Ende folgendes: Jul 21 17:06:06 linse1 slapd[9604]: => access_allowed: auth access to "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "userPassword" requested Jul 21 17:06:06 linse1 slapd[9604]: => dn: [1] Jul 21 17:06:06 linse1 slapd[9604]: => dn: [2] cn=subschema Jul 21 17:06:06 linse1 slapd[9604]: => acl_get: [3] attr userPassword Jul 21 17:06:06 linse1 slapd[9604]: => acl_mask: access to entry "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz", attr "userPassword" requested Jul 21 17:06:06 linse1 slapd[9604]: => acl_mask: to all values by "", (=n) Jul 21 17:06:06 linse1 slapd[9604]: <= check a_dn_pat: self Jul 21 17:06:06 linse1 slapd[9604]: <= check a_dn_pat: * Jul 21 17:06:06 linse1 slapd[9604]: <= acl_mask: [2] applying auth(=x) (stop) Jul 21 17:06:06 linse1 slapd[9604]: <= acl_mask: [2] mask: auth(=x) Jul 21 17:06:06 linse1 slapd[9604]: => access_allowed: auth access granted by auth(=x) Jul 21 17:06:06 linse1 sshd[9684]: pam_ldap: error trying to bind as user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials) Jul 21 17:06:06 linse1 slapd[9604]: conn=13 fd=12 ACCEPT from IP=192.168.0.3:27294 (IP=192.168.0.3:389) Jul 21 17:06:06 linse1 slapd[9604]: connection_input: conn=12 deferring operation: binding Jul 21 17:06:06 linse1 slapd[9604]: conn=12 op=1 RESULT tag=97 err=49 text= Jul 21 17:06:06 linse1 slapd[9604]: conn=12 fd=13 closed Jul 21 17:06:06 linse1 slapd[9604]: conn=13 op=1 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 17:06:06 linse1 slapd[9604]: conn=13 op=1 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" mech=SIMPLE ssf=0 Jul 21 17:06:06 linse1 sshd[9682]: error: PAM: User not known to the underlying authentication module for illegal user paul from 192.168.0.126 Wenn ich mir das so ansehe, dann fällt mir die Zeile mit den "Invalid credentials" auf. Da ich noch nicht so tief in der Materie drin bin, kann ich nur vermuten, dass dem Kollegen "paul" irgendwelche Rechte bei der Access-Kontrolle in der slapd.conf (siehe unten) fehlen. Es wäre nett, wenn mal jemand einen Blick auf meine Konfig werfen könnte. Grüße Andreas Rau ----------------------------------------------------------------------------------------------- /etc/ldap.conf (wurde von YAST generiert): base dc=intern,dc=sghd,dc=netz host ldap.sghd.netz port 389 sizelimit 0 bind_policy soft pam_password exop pam_filter objectclass=posixAccount pam_member_attribute member version 3 scope sub ppp_filter objectclass=posixAccount ppp_login_attribute uid ppp_password_attribute userPassword rootbinddn cn=admin,dc=intern,dc=sghd,dc=netz nss_map_attribute uniqueMember uniquemember nss_base_passwd dc=intern,dc=sghd,dc=netz?sub nss_base_shadow ou=people,dc=intern,dc=sghd,dc=netz?sub nss_base_group ou=group,dc=intern,dc=sghd,dc=netz?sub nss_base_networks ou=Networks,ou=Infrastructure,dc=intern,dc=sghd,dc=netz?sub nss_base_netmasks ou=Networks,ou=Infrastructure,dc=intern,dc=sghd,dc=netz?sub ldap_version 2 ssl start_tls /etc/openldap/ldap.conf: BASE dc=intern, dc=sghd, dc=netz URI ldap.sghd.netz TLS_CACERT /etc/openldap/tls/cacert.pem /etc/openldap/slapd.conf: include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/rfc2307bis.schema include /etc/openldap/schema/yast.schema pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args modulepath /usr/lib/openldap/modules access to dn.base="" by * read access to dn.base="cn=Subschema" by * read access to attr=userPassword,userPKCS12 by self write by * auth access to attr=shadowLastChange by self write by * read access to * by * read database bdb checkpoint 1024 5 cachesize 10000 suffix "dc=intern,dc=sghd,dc=netz" rootdn "cn=admin,dc=intern,dc=sghd,dc=netz" rootpw geheim directory /var/lib/ldap index objectClass eq loglevel 416 TLSCACertificateFile /etc/openldap/tls/cacert.pem TLSCertificateFile /etc/openldap/tls/ldapcert.pem TLSCertificateKeyFile /etc/openldap/tls/ldapkey.pem
--- Ursprüngliche Nachricht --- Von: Andreas Rau <linux@stoeckel-grimmler.de>
Also wenn ich den Loglevel erhöhe und versuche mit ssh auf dem Server einzuloggen, dann sehe ich am Ende folgendes:
[....] Hi, kann das sein das du ssl an hast ? Wenn ja dann schalte das mal aus und teste noch mal. Ich hab es für den Anfang mal ausgeschaltet. ssl start_tls ===> ssl no Gruß Merenda Luisa -- 5 GB Mailbox, 50 FreeSMS http://www.gmx.net/de/go/promail +++ GMX - die erste Adresse f�r Mail, Message, More +++
Andreas Rau <linux@stoeckel-grimmler.de> writes:
Dieter Kluenter schrieb:
Hallo,
Andreas Rau <linux@stoeckel-grimmler.de> writes:
Hallo Liste,
nach den ersten Erfolgen einen LDAP-Server unter SL 9.3 aufzusetzen und diesen zum Laufen zu bringen, möchte ich nun die Benutzerverwaltung komplett darüber laufen lassen. Nunmehr habe ich aber das Problem, dass sich die angelegten Benutzer nicht am System (login) anmelden können.
[...]
Bei Anmeldeversuchen bekomme ich in /var/log/warn folgende Meldung angezeigt: "PAM: User not known to the underlying authentication module for illegal user paul from 192.168.0.126"
Es hat den Anschein, als ob der User paul nicht gefunden wird. Erhöhe doch einmal in slapd.conf den loglevel auf 416 (32+128+256) und beobachte was passiert, wenn sich jemand einlogged.
-Dieter
Also wenn ich den Loglevel erhöhe und versuche mit ssh auf dem Server einzuloggen, dann sehe ich am Ende folgendes:
Jul 21 17:06:06 linse1 slapd[9604]: => access_allowed: auth access to "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "userPassword" requested Jul 21 17:06:06 linse1 slapd[9604]: => dn: [1] Jul 21 17:06:06 linse1 slapd[9604]: => dn: [2] cn=subschema Jul 21 17:06:06 linse1 slapd[9604]: => acl_get: [3] attr userPassword Jul 21 17:06:06 linse1 slapd[9604]: => acl_mask: access to entry "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz", attr "userPassword" requested Jul 21 17:06:06 linse1 slapd[9604]: => acl_mask: to all values by "", (=n) Jul 21 17:06:06 linse1 slapd[9604]: <= check a_dn_pat: self Jul 21 17:06:06 linse1 slapd[9604]: <= check a_dn_pat: * Jul 21 17:06:06 linse1 slapd[9604]: <= acl_mask: [2] applying auth(=x) (stop) Jul 21 17:06:06 linse1 slapd[9604]: <= acl_mask: [2] mask: auth(=x) Jul 21 17:06:06 linse1 slapd[9604]: => access_allowed: auth access granted by auth(=x) Jul 21 17:06:06 linse1 sshd[9684]: pam_ldap: error trying to bind as user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials) [...] Wenn ich mir das so ansehe, dann fällt mir die Zeile mit den "Invalid credentials" auf. Da ich noch nicht so tief in der Materie drin bin, kann ich nur vermuten, dass dem Kollegen "paul" irgendwelche Rechte bei der Access-Kontrolle in der slapd.conf (siehe unten) fehlen. Es wäre nett, wenn mal jemand einen Blick auf meine Konfig werfen könnte.
Entweder exitistiert der Kollege paul nicht mit diesem distinguished name, oder das das Password ist falsch. Sieh dir mal dein Eintrag mit einem LDAP-Editor oder LDAP Browser an. [ /etc/ldap.conf und slapd.conf, aufgehoben für spätere Diskussion ] -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8EF7B6C6
Dieter Kluenter schrieb:
Andreas Rau <linux@stoeckel-grimmler.de> writes:
Hallo Liste,
nach den ersten Erfolgen einen LDAP-Server unter SL 9.3 aufzusetzen und diesen zum Laufen zu bringen, möchte ich nun die Benutzerverwaltung komplett darüber laufen lassen. Nunmehr habe ich aber das Problem, dass sich die angelegten Benutzer nicht am System (login) anmelden können.
[...]
Jul 21 17:06:06 linse1 sshd[9684]: pam_ldap: error trying to bind as
user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials)
[...]
Wenn ich mir das so ansehe, dann fällt mir die Zeile mit den "Invalid credentials" auf. Da ich noch nicht so tief in der Materie drin bin, kann ich nur vermuten, dass dem Kollegen "paul" irgendwelche Rechte bei der Access-Kontrolle in der slapd.conf (siehe unten) fehlen. Es wäre nett, wenn mal jemand einen Blick auf meine Konfig werfen könnte.
Entweder exitistiert der Kollege paul nicht mit diesem distinguished name, oder das das Password ist falsch. Sieh dir mal dein Eintrag mit einem LDAP-Editor oder LDAP Browser an.
Mit dem geänderten loglevel hab ich mir nochmals die Ausgabe näher bertrachtet (siehe unten;geschweifte Klammern stellen Eingaben an der Konsole dar). Um sicher zu gehen, dass kein Problem mit TLS vorliegt, habe ich dieses vorübergehend abgeschaltet. Bezüglich des Passworts habe ich dieses unter Zuhilfenahme von YAST nochmals eingegeben. Da ich mich via ssh anmelde, habe ich die entsprechende Konfiguration aus der Dokumentation zum Paket von pam_ldap nach /etc/pam.d/sshd kopiert. Nach wie vor leider negativ. Gruß Andreas Rau ---------------------Logauszug -------------------------- {ssh linse.sghd.netz -l paul}: Jul 21 22:01:46 linse1 slapd[12298]: conn=13 fd=9 ACCEPT from IP=192.168.0.3:3482 (IP=192.168.0.3:389) Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=0 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=0 RESULT tag=97 err=49 text= Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=1 UNBIND Jul 21 22:01:46 linse1 slapd[12298]: conn=13 fd=9 closed Jul 21 22:01:46 linse1 sshd[12392]: Invalid user bernd from 192.168.0.99 password: {geheim}: [...] Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=1 SRCH base="dc=intern,dc=sghd,dc=netz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=bernd))" [...] Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: search access to "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "uid" requested Jul 21 22:10:03 linse1 slapd[12298]: <= root access granted Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter 5 Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter_and 5 Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter 5 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 BIND anonymous mech=implicit ssf=0 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 BIND dn="uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access to "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "userPassword" requested Jul 21 22:10:03 linse1 slapd[12298]: => dn: [1] Jul 21 22:10:03 linse1 slapd[12298]: => dn: [2] cn=subschema Jul 21 22:10:03 linse1 slapd[12298]: => acl_get: [3] attr userPassword Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: access to entry "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz", attr "userPassword" requested Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: to all values by "", (=n) Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: self Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: * Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] applying auth(=x) (stop) Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] mask: auth(=x) Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access granted by auth(=x) Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 RESULT tag=97 err=49 text= Jul 21 22:10:03 linse1 sshd[12420]: pam_ldap: error trying to bind as user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials) Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=3 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=3 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" mech=SIMPLE ssf=0 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=3 RESULT tag=97 err=0 text= Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=4 BIND anonymous mech=implicit ssf=0 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=4 BIND dn="uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access to "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "userPassword" requested Jul 21 22:10:03 linse1 slapd[12298]: => dn: [1] Jul 21 22:10:03 linse1 slapd[12298]: => dn: [2] cn=subschema Jul 21 22:10:03 linse1 slapd[12298]: => acl_get: [3] attr userPassword Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: access to entry "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz", attr "userPassword" requested Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: to all values by "", (=n) Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: self Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: * Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] applying auth(=x) (stop) Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] mask: auth(=x) Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access granted by auth(=x) Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=4 RESULT tag=97 err=49 text= Jul 21 22:10:03 linse1 sshd[12420]: pam_ldap: error trying to bind as user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials) Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" mech=SIMPLE ssf=0 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 RESULT tag=97 err=0 text= Jul 21 22:10:03 linse1 sshd[12418]: error: PAM: User not known to the underlying authentication module for illegal user paul from benhur1.sghd.netz Jul 21 22:10:03 linse1 slapd[12298]: conn=15 fd=9 closed Jul 21 22:10:03 linse1 sshd[12418]: Failed keyboard-interactive/pam for invalid user paul from 192.168.0.99 port 4441 ssh2
Andreas Rau <linux@raulinse.de> writes:
Dieter Kluenter schrieb:
Andreas Rau <linux@stoeckel-grimmler.de> writes:
[...]
{ssh linse.sghd.netz -l paul}:
Jul 21 22:01:46 linse1 slapd[12298]: conn=13 fd=9 ACCEPT from IP=192.168.0.3:3482 (IP=192.168.0.3:389) Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=0 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=0 RESULT tag=97 err=49 text= Jul 21 22:01:46 linse1 slapd[12298]: conn=13 op=1 UNBIND Jul 21 22:01:46 linse1 slapd[12298]: conn=13 fd=9 closed Jul 21 22:01:46 linse1 sshd[12392]: Invalid user bernd from 192.168.0.99
Das ist eine Meldung von sshd, nicht von slapd! Der User 'bernd' scheint in der Form nicht zu exitieren.
password: {geheim}:
[...]
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=1 SRCH base="dc=intern,dc=sghd,dc=netz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=bernd))" [...]
Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: search access to "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "uid" requested Jul 21 22:10:03 linse1 slapd[12298]: <= root access granted Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter 5 Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter_and 5 Jul 21 22:10:03 linse1 slapd[12298]: <= test_filter 5 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 BIND anonymous mech=implicit ssf= Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 BIND dn="uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access to "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" "userPassword" requested Jul 21 22:10:03 linse1 slapd[12298]: => dn: [1] Jul 21 22:10:03 linse1 slapd[12298]: => dn: [2] cn=subschema Jul 21 22:10:03 linse1 slapd[12298]: => acl_get: [3] attr userPassword Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: access to entry "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz", attr "userPassword" requested Jul 21 22:10:03 linse1 slapd[12298]: => acl_mask: to all values by "", (=n) Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: self Jul 21 22:10:03 linse1 slapd[12298]: <= check a_dn_pat: * Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] applying auth(=x) (stop)
Die Regel 'access to attrs=userPassword by auth' wird hier angewendet.
Jul 21 22:10:03 linse1 slapd[12298]: <= acl_mask: [2] mask: auth(=x) Jul 21 22:10:03 linse1 slapd[12298]: => access_allowed: auth access granted by auth(=x) Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=2 RESULT tag=97 err=49 text=
Error 49 bedeutet 'INVALID CREDENTIALS', d.h DN oder Password, oder beides sind ungültig (ungültig muss nicht falsch sein).
Jul 21 22:10:03 linse1 sshd[12420]: pam_ldap: error trying to bind as user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials)
Das ist wieder eine Meldung von sshd [...]
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=4 RESULT tag=97 err=49 text=
Hier ist wieder der Error 49 von slapd
Jul 21 22:10:03 linse1 sshd[12420]: pam_ldap: error trying to bind as user "uid=paul,ou=people,dc=intern,dc=sghd,dc=netz" (Invalid credentials)
Das ist wieder eine Fehlermeldung von sshd
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" method=128 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 BIND dn="cn=admin,dc=intern,dc=sghd,dc=netz" mech=SIMPLE ssf=0 Jul 21 22:10:03 linse1 slapd[12298]: conn=15 op=5 RESULT tag=97 err=0 text=
Jul 21 22:10:03 linse1 sshd[12418]: error: PAM: User not known to the underlying authentication module for illegal user paul from benhur1.sghd.netz
der User paul vom Rechner benhur1.sghd.net ist unbekannt. Wenn ich mir die Konfiguration von slapd und PAM ansehe, taucht nirgendwo benhur1.sghd.netz auf.
Jul 21 22:10:03 linse1 slapd[12298]: conn=15 fd=9 closed Jul 21 22:10:03 linse1 sshd[12418]: Failed keyboard-interactive/pam for invalid user paul from 192.168.0.99 port 4441 ssh2
Das ist wieder die Fehlermeldudng von sshd, der User paul, auf dem Rechner 192.168.0.99 ist unbekannt. Ich denke, du solltest erst einmal sshd richtig konfigurieren! Anscheinend verwendest du keinen vernünftigen LDAP Browser, daher solltest du mit slapcat(8) einmal einen Dump der LDAP Database machen, um zu prüfen, wie die Einträge wirklich aussehen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8EF7B6C6
participants (4)
-
Andreas Rau -
Andreas Rau -
Dieter Kluenter -
luisa merenda