Hallo zusammen, ich versuche seit einigen Tagen den sshd mit ldap zum laufen zu bringen. Leider bisher ohne Erfolg. Folgende Situation: Ich nutze Suse 9.0 Professional und habe darauf den OpenLDAP Server am laufen. Alle User sind darin abgelegt und der Login funktioniert an diesem Rechner problemlos. Zusätzlich existiert noch ein lokaler root Account. Jetzt möchte ich gerne mit den im LDAP Verzeichnis abgelegten Usern mich per Putty an der Linux Maschine anmelden, jedoch schlägt der Anmeldeveruch fehl (Access denied). Mit dem lokalen root Account funktioniert es jedoch. Ich dachte zuerst, dass ich die sshd Konfiguration in etc/pam.d gar nicht ändern muss, da ja die entsprechenden Einträge bereits in pam_unix2.conf enthalten sind (Samba funktioniert damit auch problemlos). Mittlerweile habe ich die Einträge jedoch auch schon hinzugefügt (pam_ldap.so), jedoch auch ohne Erfolg. Sogar wenn ich die Datei /etc/pam.d/sshd lösche, funktioniert der root Zugang immernoch, was mich zu dem Schluss bewegt, dass diese Config-Datei gar nicht ausgewertet wird. Gibt es eine entsprechende Konfigurationsdatei in einem anderen Verzeichnis? Oder waran könnte mein Fehler liegen? Danke für Eure Hilfe. Grüße, Hans. -- +++ NEU bei GMX und erstmalig in Deutschland: TÜV-geprüfter Virenschutz +++ 100% Virenerkennung nach Wildlist. Infos: http://www.gmx.net/virenschutz
"Johann Knoeferl"
Hallo zusammen,
ich versuche seit einigen Tagen den sshd mit ldap zum laufen zu bringen. Leider bisher ohne Erfolg.
Folgende Situation: Ich nutze Suse 9.0 Professional und habe darauf den OpenLDAP Server am laufen. Alle User sind darin abgelegt und der Login funktioniert an diesem Rechner problemlos. Zusätzlich existiert noch ein lokaler root Account.
Jetzt möchte ich gerne mit den im LDAP Verzeichnis abgelegten Usern mich per Putty an der Linux Maschine anmelden, jedoch schlägt der Anmeldeveruch fehl (Access denied). Mit dem lokalen root Account funktioniert es jedoch.
Ich dachte zuerst, dass ich die sshd Konfiguration in etc/pam.d gar nicht ändern muss, da ja die entsprechenden Einträge bereits in pam_unix2.conf enthalten sind (Samba funktioniert damit auch problemlos). Mittlerweile habe ich die Einträge jedoch auch schon hinzugefügt (pam_ldap.so), jedoch auch ohne Erfolg. Sogar wenn ich die Datei /etc/pam.d/sshd lösche, funktioniert der root Zugang immernoch, was mich zu dem Schluss bewegt, dass diese Config-Datei gar nicht ausgewertet wird. Gibt es eine entsprechende Konfigurationsdatei in einem anderen Verzeichnis? Oder waran könnte mein Fehler liegen?
Ich glaube nicht, daß dies ein LDAP Problem ist, eher wohl ein ssh Problem. Um dies aber sicher auszuschließen, erweitere /etc/openldap/slapd.conf um die Zeile 'loglevel 132'. Dann findest du in /var/log/localmessages die Protokollierung der Verbindungsaufnahme. ... Ich habe das jetzt einmal selbst versucht, von einem W2K Client auf einen Host mit SuSE-9.0, bei putty mit ssh wird das Password zurückgewiesen. In der /var/log/messages finde ich den Eintrag sshd[2443]: Failed password for dieter from ::ffff:192.168.100.33 port Es ist also definitiv ein Problem putty <-> sshd. Den Test habe ich dann noch einmal mit einer älteren SuSE Version durchgeführt, (7.3) da gab es kleine Probleme. Es muß also die openssh Version sein. Da kann ich dir leider keinen Rat geben, nur bestätigen, daß das Problem besteht. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Dieter Kluenter schrieb:
Ich habe das jetzt einmal selbst versucht, von einem W2K Client auf einen Host mit SuSE-9.0, bei putty mit ssh wird das Password zurückgewiesen. In der /var/log/messages finde ich den Eintrag
sshd[2443]: Failed password for dieter from ::ffff:192.168.100.33 port
Es ist also definitiv ein Problem putty <-> sshd. Den Test habe ich dann noch einmal mit einer älteren SuSE Version durchgeführt, (7.3) da gab es kleine Probleme. Es muß also die openssh Version sein. Da kann ich dir leider keinen Rat geben, nur bestätigen, daß das Problem besteht.
Ich hab kürzlich mal was gelesen von "neueste Putty Version benützen", dann soll es gehen. Nicht getestet und ohne Garantie. Gruß Thomas
Dieter Kluenter schrieb:
Ich habe das jetzt einmal selbst versucht, von einem W2K Client auf einen Host mit SuSE-9.0, bei putty mit ssh wird das Password zurückgewiesen. In der /var/log/messages finde ich den Eintrag
sshd[2443]: Failed password for dieter from ::ffff:192.168.100.33 port
Es ist also definitiv ein Problem putty <-> sshd. Den Test habe ich dann noch einmal mit einer älteren SuSE Version durchgeführt, (7.3) da gab es kleine Probleme. Es muß also die openssh Version sein. Da kann ich dir leider keinen Rat geben, nur bestätigen, daß das Problem besteht.
Bei mir lag das an Putty. Nachdem ich folgende Einstellung vorgenommen hab funktionierte der Login: Einfach in Putty unter Connection->SSH->Auth: "Attempt TIS or Crytocard authentification (SSH 1)" aktivieren. Danach müsste der Login funktionieren. Gruß Maik.
Hallo,
"Maik Stephan"
Dieter Kluenter schrieb:
Ich habe das jetzt einmal selbst versucht, von einem W2K Client auf einen Host mit SuSE-9.0, bei putty mit ssh wird das Password zurückgewiesen. In der /var/log/messages finde ich den Eintrag
sshd[2443]: Failed password for dieter from ::ffff:192.168.100.33 port
Bei mir lag das an Putty. Nachdem ich folgende Einstellung vorgenommen hab funktionierte der Login:
Einfach in Putty unter Connection->SSH->Auth: "Attempt TIS or Crytocard authentification (SSH 1)" aktivieren. Danach müsste der Login funktionieren.
Ich muß mich wohl mal intensiv damit befassen, bei mir kommt 'TIS authentication refused' -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hi all, Am Sonntag März 28 2004 21:23 schrieb Dieter Kluenter:
"Maik Stephan"
writes:
Einfach in Putty unter Connection->SSH->Auth: "Attempt TIS or Crytocard authentification (SSH 1)" aktivieren. Danach müsste der Login funktionieren.
Ich muß mich wohl mal intensiv damit befassen, bei mir kommt 'TIS authentication refused'
Die Fehlermeldung kenne ich noch nicht. Ist ssh1 nicht inzwischen standardmäßig ausgeschaltet und man muß es wissend wieder aktivieren? Als ich Probleme mit einem Login von putty aus auf eine SuSE 9.0 hatte, lag es an der sshd_conf. Dort mußte man die Passwort-Authentifizierung wieder auf Yes setzen. Danach tat alles wieder. Während von Linux zu Linux funktionierte alles ohne Eingriff in die sshd_conf, so daß der 'Fehler' erst dann auffiel, als ich mich von Windows aus in das Linux einloggen wollte. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Helga Fischer wrote:
Ist ssh1 nicht inzwischen standardmäßig ausgeschaltet und man muß es wissend wieder aktivieren?
ja, bei der SUSE 9 ist standardmäßig ssh2 eingeschaltet, von Windows dann only ssh2 als Protokoll einstellen oder bei pscp -2 als Parameter. ansonsten, wenn man nicht immer umdenken will :) openssh gibts auch für Windows, dann kann man auch prima von der Linuxkiste aus mit ssh auf den Windowshost zugreifen (Commandline) Andreas
Am Sonntag März 28 2004 23:03 schrieb Andreas Loesch:
Helga Fischer wrote:
Ist ssh1 nicht inzwischen standardmäßig ausgeschaltet und man muß es wissend wieder aktivieren?
ja, bei der SUSE 9 ist standardmäßig ssh2 eingeschaltet, von Windows dann only ssh2 als Protokoll einstellen oder bei pscp -2 als Parameter.
ansonsten, wenn man nicht immer umdenken will :) openssh gibts auch für Windows, dann kann man auch prima von der Linuxkiste aus mit ssh auf den Windowshost zugreifen (Commandline)
Also... das muß ich mir natürlich geben *g* Vielleicht kann man damit ja noch mehr machen als mit einer smb-Shell. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo,
Helga Fischer
Am Sonntag März 28 2004 23:03 schrieb Andreas Loesch:
Helga Fischer wrote:
Ist ssh1 nicht inzwischen standardmäßig ausgeschaltet und man muß es wissend wieder aktivieren?
ja, bei der SUSE 9 ist standardmäßig ssh2 eingeschaltet, von Windows dann only ssh2 als Protokoll einstellen oder bei pscp -2 als Parameter.
ansonsten, wenn man nicht immer umdenken will :) openssh gibts auch für Windows, dann kann man auch prima von der Linuxkiste aus mit ssh auf den Windowshost zugreifen (Commandline)
Also... das muß ich mir natürlich geben *g* Vielleicht kann man damit ja noch mehr machen als mit einer smb-Shell.
Die Diskussion driftet hier ganz schön ab. :-( Ich möchte daher noch einmal auf die ursprüngliche Mail von Johann Knoeferl verweisen. Da ging es darum, daß eine PAM Konfiguration als Authentifizierungsmodul pam_unix2 verlangt, das Modul pam_unix2 wieder auf das Modul pam_ldap zugreift. Das Paßwort ist nicht in /etc/passwd enthalten sondern im Verzeichnisdienst. Unter diesen Voraussetzungen findet keine Authentifizierung durch putty über ssh statt, wohl aber bei einem lokalen Login. Meine Bemerkung dazu war, da ich auch eine zentrale Anwenderverwaltung mittels LDAP realisiert habe, daß ein Zugriff mittels putty (0.54) über ssh auf eine SuSE-7.3 ohne Probleme erfolgt, ein Zugriff auf SuSE-9.0 die diskutierten Fehlermeldungen produziert. In meiner Umgebung ist der zuständige LDAP Server auf einem unbeteiligten dritten Host mit SES-8. Wer hat denn jetzt noch sinnvolle Lösungsvorschläge für Johann? -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hallo,
Dieter Kluenter
"Johann Knoeferl"
writes:
[...]
Es ist also definitiv ein Problem putty <-> sshd. Den Test habe ich dann noch einmal mit einer älteren SuSE Version durchgeführt, (7.3) da gab es kleine Probleme. Es muß also die openssh Version sein.
Ich sollte noch einmal die Schulbank drücken und schreiben lernen :-( das soll natürlich ... da gab es keine Probleme ... heißen. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
participants (6)
-
Andreas Loesch
-
Dieter Kluenter
-
Helga Fischer
-
Johann Knoeferl
-
Maik Stephan
-
Thomas Stark