Morgen
. Das README kenne ich. Ich denke das ist falsch, der Packer hat vermutlich nicht den Unterschied gekannt.
Ich vermute, daß pam_ldap mangels einer Konfigurationsdatei die Defaulteinstellungen verwendet, also host=localhost, port=389 und suffix wird dann über das Attribut 'namingContexts' geholt, aber die restlichen Konfigurationsparameter werden nicht genutzt. Wenn du in slapd.conf 'loglevel 164' setzt kannst du ja verfolgen, was pam_ldap such
habe das ganze nun unter SLES 7 versucht ! Gleiches Problem ! Ich kann mich einloggen, bekomme aber die Meldung You must be a member of cn=l1mon,ou=Groups,ou=sup,o=system to login. sofern ich nicht Mitglied der Gruppe l1mon bin ! Also ließt pam anscheinend die ldap.conf richtig! Und ich vermute einen Fehler in der /etc/pam.d/sshd oder in pam_ldap selbst ! Version "pam_ldap-105-55" /etc/pam.d/sshd sieht so aus ! #%PAM-1.0 auth required pam_nologin.so auth sufficient pam_ldap.so auth required pam_unix.so # set_secrpc auth required pam_env.so account required pam_nologin.so account sufficient pam_ldap.so account required pam_unix.so password sufficient pam_ldap.so password required pam_pwcheck.so password required pam_unix.so use_first_pass use_authtok session required pam_unix.so none # trace or debug session required pam_limits.so Manfred
Hallo Manfred,
"Manfred Schmid"
Morgen
[...]
habe das ganze nun unter SLES 7 versucht ! Gleiches Problem !
Ich kann mich einloggen, bekomme aber die Meldung
You must be a member of cn=l1mon,ou=Groups,ou=sup,o=system to login.
sofern ich nicht Mitglied der Gruppe l1mon bin !
Also ließt pam anscheinend die ldap.conf richtig! Und ich vermute einen Fehler in der /etc/pam.d/sshd oder in pam_ldap selbst ! Version "pam_ldap-105-55"
/etc/pam.d/sshd sieht so aus !
#%PAM-1.0 auth required pam_nologin.so auth sufficient pam_ldap.so auth required pam_unix.so # set_secrpc auth required pam_env.so account required pam_nologin.so account sufficient pam_ldap.so account required pam_unix.so password sufficient pam_ldap.so password required pam_pwcheck.so password required pam_unix.so use_first_pass use_authtok session required pam_unix.so none # trace or debug session required pam_limits.so
Das hat mir nun keine Ruhe gelassen und ich bin in die Tiefen von pam und pam_ldap hinabgestiegen, eine fertige Lösung habe ich aber nicht gefunden :-( Ich vermute aber, dein Problem liegt bei 'login' oder sshd. Das Taskmodul 'auth' prüft primär die Identität und das Paßwort des Anwenders und gibt bei Erfolg ein OK, weiterhin kann dieses Taskmodul Gruppenmitgliedschaften gewähren (group membership) durch die Übergabe weiterer Daten (credential granting). Das Modul pam_ldap gibt also das OK für das richtige Paßwort und übergibt auch die weiteren Informationen über Gruppenzugehörigkeit, es liegt nun an login (oder sshd) diese Informationen zu verwerten. Wie das nun aber konfiguriert werden muß, kann ich dir auch nicht sagen. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hallo Manfred, Am Mit, 2004-03-10 um 10.36 schrieb Manfred Schmid:
Morgen
Das README kenne ich. Ich denke das ist falsch, der Packer hat vermutlich nicht den Unterschied gekannt. [...] Ich vermute, daß pam_ldap mangels einer Konfigurationsdatei die Defaulteinstellungen verwendet, also host=localhost, port=389 und suffix wird dann über das Attribut 'namingContexts' geholt, aber die restlichen Konfigurationsparameter werden nicht genutzt. Wenn du in slapd.conf 'loglevel 164' setzt kannst du ja verfolgen, was pam_ldap such
habe das ganze nun unter SLES 7 versucht ! Gleiches Problem !
Ich kann mich einloggen, bekomme aber die Meldung
You must be a member of cn=l1mon,ou=Groups,ou=sup,o=system to login.
sofern ich nicht Mitglied der Gruppe l1mon bin !
Also ließt pam anscheinend die ldap.conf richtig! Und ich vermute einen Fehler in der /etc/pam.d/sshd oder in pam_ldap selbst ! Version "pam_ldap-105-55"
/etc/pam.d/sshd sieht so aus !
#%PAM-1.0 auth required pam_nologin.so auth sufficient pam_ldap.so auth required pam_unix.so # set_secrpc auth required pam_env.so account required pam_nologin.so account sufficient pam_ldap.so account required pam_unix.so password sufficient pam_ldap.so password required pam_pwcheck.so password required pam_unix.so use_first_pass use_authtok session required pam_unix.so none # trace or debug session required pam_limits.so
Ich habe noch einen anderen Ansatz. Das Modul pam_ldap prüft Passwort und Gruppenzugehörigkeit, meldet dann ERROR, da die Gruppenzugehörigkeit nicht zutrifft, wie man ja auch an der Fehlermeldung sehen kann. Jetzt prüft das nächste Modul im Stack, pam_unix, /etc/shadow und /etc/groups und wird erfolgreich fündig und meldet SUCCESS. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hi, ich habe noch folgendes gefunden, weiß allerdings nicht ob das was bringt, da ich jetzt nicht im Büro bin.
Also ließt pam anscheinend die ldap.conf richtig! Und ich vermute einen Fehler in der /etc/pam.d/sshd oder in pam_ldap selbst ! Version "pam_ldap-105-55"
/etc/pam.d/sshd sieht so aus !
#%PAM-1.0 auth required pam_nologin.so auth sufficient pam_ldap.so auth required pam_unix.so # set_secrpc auth required pam_env.so account required pam_nologin.so account sufficient pam_ldap.so account required pam_unix.so
Anstatt
password sufficient pam_ldap.so
password required pam_ldap.so
password required pam_pwcheck.so password required pam_unix.so use_first_pass use_authtok session required pam_unix.so none # trace or debug session required pam_limits.so
Ich habe noch einen anderen Ansatz. Das Modul pam_ldap prüft Passwort und Gruppenzugehörigkeit, meldet dann ERROR, da die Gruppenzugehörigkeit nicht zutrifft, wie man ja auch an der Fehlermeldung sehen kann. Jetzt prüft das nächste Modul im Stack, pam_unix, /etc/shadow und /etc/groups und wird erfolgreich fündig und meldet SUCCESS.
-Dieter
Mal sehen (morgen) ob das was bringt. Manfred
Hallo Manfred,
Manfred Schmid
Hi,
ich habe noch folgendes gefunden, weiß allerdings nicht ob das was bringt, da ich jetzt nicht im Büro bin.
[...]
auth required pam_nologin.so auth sufficient pam_ldap.so auth required pam_unix.so # set_secrpc auth required pam_env.so account required pam_nologin.so account sufficient pam_ldap.so account required pam_unix.so
Anstatt
password sufficient pam_ldap.so
password required pam_ldap.so
Das Taskmodul 'password' Beeinflußt nur die Änderung des Paßwortes. Das wichtige Taskmodul ist 'auth' also auth sufficient pam_ldap.so auth required pam_unix.so die anderen 'auth' Module sind hier unwichtig, pam_nologin wirkt nur wenn eine Datei /etc/nologin existiert, pam_env lädt im Erfolgsfalle in einer Konfigurationsdatei definierte Umgebungsvariable, die in der Funktion 'setcred' übergeben werden. Das Flag 'sufficient' bedeutet, daß bei erfolgreicher Authentifizierung der Modulstack nicht weiter bearbeitet wird, bei einem Mißerfolg das nächste Modul zur Authentifizierung herangezogen wird. Das Flag 'required' besagt, daß mit diesem Modul zwingend eine Authentifizierung erfolgen muß, ein Mißerfolg wird aber zurückgehalten, wenn noch ein oder mehrere Module im Stack herangezogen werden können. Um zu prüfen, welches Modul nun tatsächlich die Authentifizierung vornimmt, würde ich erst einmal alle 'auth' Module auskommentieren, mit Ausnahme von pam_ldap, anschließend das gleiche mit dem Modul pam-unix. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Dieter Kluenter wrote:
Das Taskmodul 'password' Beeinflußt nur die Änderung des Paßwortes. Das wichtige Taskmodul ist 'auth' also auth sufficient pam_ldap.so auth required pam_unix.so
Also hab ich es doch richtig verstanden. Aber da ich vor einem sehr großen ? stehe, hab ich mir gedacht probieren kann nicht schaden. Wer weiß ! :-)
die anderen 'auth' Module sind hier unwichtig, pam_nologin wirkt nur wenn eine Datei /etc/nologin existiert, pam_env lädt im Erfolgsfalle in einer Konfigurationsdatei definierte Umgebungsvariable, die in der Funktion 'setcred' übergeben werden. Das Flag 'sufficient' bedeutet, daß bei erfolgreicher Authentifizierung der Modulstack nicht weiter bearbeitet wird, bei einem Mißerfolg das nächste Modul zur Authentifizierung herangezogen wird. Das Flag 'required' besagt, daß mit diesem Modul zwingend eine Authentifizierung erfolgen muß, ein Mißerfolg wird aber zurückgehalten, wenn noch ein oder mehrere Module im Stack herangezogen werden können.
Um zu prüfen, welches Modul nun tatsächlich die Authentifizierung vornimmt, würde ich erst einmal alle 'auth' Module auskommentieren, mit Ausnahme von pam_ldap, anschließend das gleiche mit dem Modul pam-unix.
Das wird morgen das erste sein was ich mache !
-Dieter
Manfred
participants (2)
-
Dieter Kluenter
-
Manfred Schmid