opensuse 12.2 + sssd + ldap
Hallo, ich habe seit kurzem Probleme mit sssd/ldap und opensuse 12.2 x86_64. Bisher war es so, dass bei 12.2, wenn man im yast den ldap aktiviert hat, zwar zwangsweise sssd installiert wurde, aber nicht aktiviert wurde. Jetzt wird sssd aktiviert. Und ich habe das Problem, dass die Benutzer nicht mehr gesehen werden. Mit 'getent passwd' kommen nur die lokalen Accounts von der /etc/passwd. Ich kann mich nicht als ldap-user anmelden. Meldung: pam_sss(sshd:auth): authentication failure; error: PAM: Permission denied for illegal user ***** (root an Konsole geht). Im /var/log/messages kommt auch die Meldung sssd: nscd socket was detected. Nscd caching capabilities may conflict with SSSD for users and groups. It is recommended not to run nscd in parallel with SSSD, unless nscd is configured not to cache the passwd, group and netgroup nsswitch maps. Ok, ich schalte den nscd ab. Keine Verbesserung. Aus dem, was ich bis jetzt in Google gefunden habe, bin ich nicht so recht schlau geworden. Ich habe mal unten die wichtigen configs angehängt. Fällt jemandem auf, wo das Problem sein könnte? Bin für jeden Hinweis dankbar. Oder fehlen noch Informationen? Was kann ich sonst noch probieren? Viele Grüße und vielen Dank, Ulrich /etc/sysconfig/ldap: ==================== BASE_CONFIG_DN="ou=ldapconfig,o=mpia" BIND_DN="" FILE_SERVER="no" /etc/sssd/sssd.conf: ==================== [sssd] config_file_version = 2 services = nss,pam domains = default ; domains = LDAP [nss] [pam] [domain/default] ldap_uri = ldap://ldap.meine.domain ldap_search_base = o=mpia ldap_schema = rfc2307bis id_provider = ldap ldap_user_uuid = entryuuid ldap_group_uuid = entryuuid ldap_id_use_start_tls = True enumerate = False cache_credentials = False ldap_tls_cacertdir = /etc/ssl/certs chpass_provider = ldap auth_provider = ldap ldap_tls_reqcert = never ldap_user_search_base = ou=people,o=mpia ; [domain/LDAP] ; id_provider = ldap ; auth_provider = ldap ; ldap_schema = rfc2307 ; ldap_uri = ldap://ldap.mydomain.org ; ldap_search_base = dc=mydomain,dc=org ; enumerate = false ; cache_credentials = true ; [domain/AD] ; id_provider = ldap ; auth_provider = krb5 ; chpass_provider = krb5 ; ; ldap_uri = ldap://your.ad.example.com ; ldap_search_base = dc=example,dc=com ; ldap_schema = rfc2307bis ; ldap_sasl_mech = GSSAPI ; ldap_user_object_class = user ; ldap_group_object_class = group ; ldap_user_home_directory = unixHomeDirectory ; ldap_user_principal = userPrincipalName ; ldap_account_expire_policy = ad ; ldap_force_upper_case_realm = true ; ; krb5_server = your.ad.example.com ; krb5_realm = EXAMPLE.COM /etc/nsswitch.conf: ==================== passwd: compat sss group: compat sss hosts: files mdns_minimal [NOTFOUND=return] dns networks: files dns services: files protocols: files rpc: files ethers: files netmasks: files netgroup: files nis publickey: files bootparams: files automount: files nis aliases: files /etc/nsswitch.conf vom "alten" 12.2 (tut auch nicht auf der neuen Kiste): ===================================================== passwd: compat group: files ldap hosts: files mdns_minimal [NOTFOUND=return] dns networks: files dns services: files ldap protocols: files rpc: files ethers: files netmasks: files netgroup: files ldap publickey: files bootparams: files automount: files nis aliases: files ldap passwd_compat: ldap -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Moin, On 01/08/2013 06:47 PM, Ulrich Hiller wrote:
ich habe seit kurzem Probleme mit sssd/ldap und opensuse 12.2 x86_64. Bisher war es so, dass bei 12.2, wenn man im yast den ldap aktiviert hat, zwar zwangsweise sssd installiert wurde, aber nicht aktiviert wurde. Jetzt wird sssd aktiviert. Und ich habe das Problem, dass die Benutzer nicht mehr gesehen werden. Mit 'getent passwd' kommen nur die lokalen Accounts von der /etc/passwd. "getent passwd" listet nur die lokalen Accounts aus /etc/passwd, ein "getent passwd ldap-user" sollte die passwd Informationen eines Ldap-User liefern. Ich kann mich nicht als ldap-user anmelden. Meldung: pam_sss(sshd:auth): authentication failure; error: PAM: Permission denied for illegal user ***** (root an Konsole geht). klar, der root Account wird aus der lokalen passwd ausgelesen ;-)
Im /var/log/messages kommt auch die Meldung sssd: nscd socket was detected. Nscd caching capabilities may conflict with SSSD for users and groups. It is recommended not to run nscd in parallel with SSSD, unless nscd is configured not to cache the passwd, group and netgroup nsswitch maps.
Bei aktivem sssd und inaktiven nscd funktioniert hier die Ldap Anmeldung: ----------
systemctl status sssd.service sssd.service - System Security Services Daemon Loaded: loaded (/lib/systemd/system/sssd.service; enabled) Active: active (running) since Mon, 07 Jan 2013 08:14:41 +0100; 2 days ago Process: 1140 ExecStart=/usr/sbin/sssd -D -f (code=exited, status=0/SUCCESS) Main PID: 1150 (sssd) CGroup: name=systemd:/system/sssd.service ├ 1150 /usr/sbin/sssd -D -f ├ 1183 /usr/lib/sssd/sssd_be --domain default --debug-to-files ├ 1478 /usr/lib/sssd/sssd_nss --debug-to-files └ 1479 /usr/lib/sssd/sssd_pam --debug-to-files
systemctl status nscd.service nscd.service - Name Service Cache Daemon Loaded: loaded (/lib/systemd/system/nscd.service; disabled) Active: inactive (dead) CGroup: name=systemd:/system/nscd.service
Hth , Kai -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi Ulrich, damit ich mittels 'getent passwd' auch meine ldap-user angezeigt bekomme, mußte ich die /etc/passwd prüfen. Die letzte Zeile in /etc/passwd sollte so aussehen: +:::::: prüf das mal. Deine nsswitch ist OK ? ----snip , meine ----- # For more information, please read the nsswitch.conf.5 manual page. # # passwd: files nis # shadow: files nis # group: files nis passwd: compat group: files ldap hosts: files dns networks: files dns services: files ldap protocols: files rpc: files ethers: files netmasks: files netgroup: files ldap publickey: files bootparams: files automount: files nis aliases: files ldap passwd_compat: ldap Gruß Chris Am 08.01.2013 18:47, schrieb Ulrich Hiller:
Hallo, ich habe seit kurzem Probleme mit sssd/ldap und opensuse 12.2 x86_64. Bisher war es so, dass bei 12.2, wenn man im yast den ldap aktiviert hat, zwar zwangsweise sssd installiert wurde, aber nicht aktiviert wurde. Jetzt wird sssd aktiviert. Und ich habe das Problem, dass die Benutzer nicht mehr gesehen werden. Mit 'getent passwd' kommen nur die lokalen Accounts von der /etc/passwd. Ich kann mich nicht als ldap-user anmelden. Meldung: pam_sss(sshd:auth): authentication failure; error: PAM: Permission denied for illegal user ***** (root an Konsole geht).
Im /var/log/messages kommt auch die Meldung sssd: nscd socket was detected. Nscd caching capabilities may conflict with SSSD for users and groups. It is recommended not to run nscd in parallel with SSSD, unless nscd is configured not to cache the passwd, group and netgroup nsswitch maps.
Ok, ich schalte den nscd ab. Keine Verbesserung. Aus dem, was ich bis jetzt in Google gefunden habe, bin ich nicht so recht schlau geworden.
Ich habe mal unten die wichtigen configs angehängt. Fällt jemandem auf, wo das Problem sein könnte? Bin für jeden Hinweis dankbar. Oder fehlen noch Informationen? Was kann ich sonst noch probieren?
Viele Grüße und vielen Dank, Ulrich
/etc/sysconfig/ldap: ====================
BASE_CONFIG_DN="ou=ldapconfig,o=mpia" BIND_DN="" FILE_SERVER="no"
/etc/sssd/sssd.conf: ====================
[sssd] config_file_version = 2 services = nss,pam domains = default ; domains = LDAP [nss] [pam] [domain/default] ldap_uri = ldap://ldap.meine.domain ldap_search_base = o=mpia ldap_schema = rfc2307bis id_provider = ldap ldap_user_uuid = entryuuid ldap_group_uuid = entryuuid ldap_id_use_start_tls = True enumerate = False cache_credentials = False ldap_tls_cacertdir = /etc/ssl/certs chpass_provider = ldap auth_provider = ldap ldap_tls_reqcert = never ldap_user_search_base = ou=people,o=mpia ; [domain/LDAP] ; id_provider = ldap ; auth_provider = ldap ; ldap_schema = rfc2307 ; ldap_uri = ldap://ldap.mydomain.org ; ldap_search_base = dc=mydomain,dc=org ; enumerate = false ; cache_credentials = true ; [domain/AD] ; id_provider = ldap ; auth_provider = krb5 ; chpass_provider = krb5 ; ; ldap_uri = ldap://your.ad.example.com ; ldap_search_base = dc=example,dc=com ; ldap_schema = rfc2307bis ; ldap_sasl_mech = GSSAPI ; ldap_user_object_class = user ; ldap_group_object_class = group ; ldap_user_home_directory = unixHomeDirectory ; ldap_user_principal = userPrincipalName ; ldap_account_expire_policy = ad ; ldap_force_upper_case_realm = true ; ; krb5_server = your.ad.example.com ; krb5_realm = EXAMPLE.COM
/etc/nsswitch.conf: ====================
passwd: compat sss group: compat sss
hosts: files mdns_minimal [NOTFOUND=return] dns networks: files dns
services: files protocols: files rpc: files ethers: files netmasks: files netgroup: files nis publickey: files
bootparams: files automount: files nis aliases: files
/etc/nsswitch.conf vom "alten" 12.2 (tut auch nicht auf der neuen Kiste): =====================================================
passwd: compat group: files ldap
hosts: files mdns_minimal [NOTFOUND=return] dns networks: files dns
services: files ldap protocols: files rpc: files ethers: files netmasks: files netgroup: files ldap publickey: files
bootparams: files automount: files nis aliases: files ldap passwd_compat: ldap
-- Christian ---------------------------------------------------- - Please do not 'CC' me on list mails. Just reply to the list :) ---------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de ---------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, irgendwie scheint es jetzt bei mir zu tun. Ich habe in die /etc/sssd/sssd.conf eingefügt: ldap_tls_reqcert = never ldap_user_search_base = ou=people,o=mpia Weiterhin habe ich aus /etc/nscd.conf alles mit passwd und group rausgeschmissen. Es sieht jetzt so aus: enable-cache hosts yes positive-time-to-live hosts 600 negative-time-to-live hosts 0 suggested-size hosts 211 check-files hosts yes Danach habe ich den Rechner gebootet, damit alle Speicher wirklich geflusht werden (das war wohl mein Problem beim rumprobieren). Hier noch meine Antworten auf die Fragen derer, die mir Tipps gegeben haben:
damit ich mittels 'getent passwd' auch meine ldap-user angezeigt bekomme, mußte ich die /etc/passwd prüfen. Die letzte Zeile in /etc/passwd sollte so aussehen: +::::::
prüf das mal.
Nein, hat es nicht. Aber auch mit Eintrag gibt es keine Änderung.
Deine nsswitch ist OK ?
Meine /etc/nsswitch.conf wurde vom System oder yast erzeugt. Ich habe da nichts gemacht. Wie man an der alten nsswitch (die ich in meiner Mail auch gegeben habe) sieht, sah es früher ohne laufenden sssd anders aus. Ich nehme an, die Einträge müssen wohl so sein, wenn es getestet wurde bevor es in die Distribution kam. Zumindest mein Probieren mit den Einträgen hatte eher neagtive Effekte.
"getent passwd" listet nur die lokalen Accounts aus /etc/passwd, ein "getent passwd ldap-user" sollte die passwd Informationen eines Ldap-User liefern.
Früher habe ich mit 'getent passwd' alle User bekommen, lokal und ldap. Ok, jetzt, wo ich mich wieder einloggen kann, geht wieder 'getent passwd LdapUser'. Ist zwar schade, dass ich nicht mehr alle auf einen Schlag bekomme, aber mit 'ldapsearch -x' kann ich mir auch helfen.
(root an Konsole geht). klar, der root Account wird aus der lokalen passwd ausgelesen ;-)
Schon klar. Das wollte ich damit auch ausdrücken. ;-)
Bei aktivem sssd und inaktiven nscd funktioniert hier die Ldap Anmeldung: [....]
So sieht es bei mir auch aus. Nur, dass der nscd ohne passwd und group läuft. Nochmal vielen Dank an Kai und Chris. Wenn es noch Probleme gehen sollte, melde ich mich nochmal. Grüße, ulrich -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Ulrich Hiller [09.01.2013 13:34]:
"getent passwd" listet nur die lokalen Accounts aus /etc/passwd, ein "getent passwd ldap-user" sollte die passwd Informationen eines Ldap-User liefern.
Frher habe ich mit 'getent passwd' alle User bekommen, lokal und ldap. Ok, jetzt, wo ich mich wieder einloggen kann, geht wieder 'getent passwd LdapUser'. Ist zwar schade, dass ich nicht mehr alle auf einen Schlag bekomme, aber mit 'ldapsearch -x' kann ich mir auch helfen.
Hilft bei Dir, den Haken unter YasT2 -> LDAP-Client -> Erweiterte Konfiguration -> "Benutzer- und Gruppen-Auflistung aktivieren" zu setzen? Bei mir nicht... Gru Werner -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.19 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iEYEARECAAYFAlDtbuUACgkQk33Krq8b42P8QwCghVOLaXr8tOdBlHTREeqhYlpX i30AnAy82DNvDj2fbqZs+Q0EnjUiO8yz =l2OH -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hilft bei Dir, den Haken unter YasT2 -> LDAP-Client -> Erweiterte Konfiguration -> "Benutzer- und Gruppen-Auflistung aktivieren" zu setzen? Bei mir nicht...
bei mir auch nicht. Gruß, ulrich -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo an alle sssd Leidgeplagten, Am 09.01.2013 15:40, schrieb Ulrich Hiller:
Hilft bei Dir, den Haken unter YasT2 -> LDAP-Client -> Erweiterte Konfiguration -> "Benutzer- und Gruppen-Auflistung aktivieren" zu setzen? Bei mir nicht...
bei mir auch nicht. Unter 12.3 (frische VM von heute) geht das jetzt. Da zeigt getent passwd wieder alle user die in der passwd und LDAP stehen an.
Der Parameter ldap_tls_reqcert = never muss aber nach wie vor in die sssd.conf rein, sonst geht nüscht! Das sieht mir nach einem Bug aus, oder was meint ihr. Da ja in Yast2 TLS/SSL explizit nicht aktiviert ist (zumindest bei mir). Ansonsten habe ich an keiner Konfigurationdatei etwas herummodel müssen, alles so wie Yast2 es erstellt hat. Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mittwoch, 9. Januar 2013, 13:34:00 schrieb Ulrich Hiller:
irgendwie scheint es jetzt bei mir zu tun. Ich habe in die /etc/sssd/sssd.conf eingefügt: ldap_tls_reqcert = never ldap_user_search_base = ou=people,o=mpia
Weiterhin habe ich aus /etc/nscd.conf alles mit passwd und group rausgeschmissen. Es sieht jetzt so aus: enable-cache hosts yes positive-time-to-live hosts 600 negative-time-to-live hosts 0 suggested-size hosts 211 check-files hosts yes
Eigentlich sollte das hosts / passwd enable-cache yes / no und der runlevel von sssd schon mit dem YaSt2-ldap-client Update funktionieren. Jedenfalls ist meines Erachtens der Bugreport von mir schon geschlossen. Die Meldung von sssd bleibt aber erhalten. Man kann aber sehr leicht den loglevel aufdrehen damit man auf Fehler kommt. Aber ich habe das neue sssd > 1.5.x noch nicht ausprobiert.
Danach habe ich den Rechner gebootet, damit alle Speicher wirklich geflusht werden (das war wohl mein Problem beim rumprobieren)
-- mit freundlichen Grüßen / best Regards. Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (6)
-
Christian -
Günther J. Niederwimmer -
Kai Grunau -
Manfred Kreisl -
Ulrich Hiller -
Werner Flamme