Hallo zusammen, hat hier jemand Erfahrung mit den im Betreff angegebenen Themen? Wenn ja, kann er mir vielleicht mit einigen Hinweisen oder auch nur Tips zur Literatur weiterhelfen. Ich versuche gerade eine MD5 verschlüsselten Login gegen einen LDAP-Server zu realisieren. Das (noch weit entfernte) Endziel soll sein sowohl Linux als auch Dosen via Samba auf den selben LDAP-Eintrag zu zugreifen zu lassen (->single-sign-on). Laut den log-Dateien schafft es der Client den LDAP-Server nach dem User zufragen, und erhält auch Auskunft. Danach versucht der Client einen BIND mit der Kennung des Users, die auch gelingt. Aber dennoch ist die Authentisierung nicht erfolgreich. (Auf Anfrage kann ich gerne die Ausschnitte aus den Dateien schicken) Dabei verwirrt mich folgendes: In vielen Quellen wird für pam_unix.so ein Parameter md5 angegeben, nur leider funktioniert der bei mir nicht. (Für die, die sich jetzt wundern: ich verzweige erst in der nsswitch.conf in ldap ab. Mangels besseren Wissens nehme ich an, das /etc/pam.d/ vor nsswitch.conf abgearbeitet wird. Bitte um Berichtigung wenn das nicht so ist) Wo wird denn dann festgelegt wie das Passwort übertragen wird? Eine Veränderung des Parameters pam_password in der ldap.conf hat auf jeden Fall keine Auswirkung. Einen entsprechenden Parameter der nach nss ausschaut habe ich (noch) nicht gefunden. Übertrage ich das Passwort dann unverschlüsselt? Kann das der Grund dafür sein, das der Login nicht klappt? Ich wäre sehr dankbar für die folgenden Informationen: - Kann mir jemand den genauen Zusammenhang zwischen PAM und dem NSSWITCH erklären (oder eine Literatur nennen wo das steht. Web/Buch) - Kennt jemand eine Website/ein Buch wo die Parameter der ldap.conf möglichst vollständig erklärt werden? - Oder selbstverständlich auch Infos a la "Du hast XY falsch konfiguriert. Mach das so, dann funzs ..." Ach ja, noch ein wenig Zusatzinfos: Server und Client laufen mit SuSE 7.3, nss_ldap von CD, OpenLDAP 2.0.17 mit Source selbst bebaut Vielen Dank schon mal Matthias -- ----------------------------------------------------------------- Software Factory GmbH Matthias Hoefel Joseph-Dollinger-Bogen 14 http://www.sf.com 80807 Muenchen mailto:hoefel@sf.com Fax.: +49 (0) 89 / 323 501-53 Tel.: +49 (0) 89 / 323 501-36
On Mon, Oct 29, Matthias Hoefel wrote:
Dabei verwirrt mich folgendes: In vielen Quellen wird für pam_unix.so ein Parameter md5 angegeben, nur leider funktioniert der bei mir nicht. (Für die, die sich jetzt wundern:
Weißt Du auch was der macht? Der Parameter ist nur beim ändern von Passwörtern interessant.
ich verzweige erst in der nsswitch.conf in ldap ab. Mangels besseren
Damit kannst Du Dich niemals anmelden, da so keine Authentifizierung möglich ist, um an das LDAP Passwort zu kommen.
Wissens nehme ich an, das /etc/pam.d/ vor nsswitch.conf abgearbeitet wird. Bitte um Berichtigung wenn das nicht so ist) Wo wird denn dann festgelegt wie das Passwort übertragen wird? Eine Veränderung des Parameters pam_password in der ldap.conf hat auf jeden Fall keine Auswirkung. Einen entsprechenden Parameter der nach nss ausschaut habe ich (noch) nicht gefunden. Übertrage ich das Passwort dann unverschlüsselt? Kann das der Grund dafür sein, das der Login nicht klappt?
Kurzanweisung: Man nehme eine SuSE Linux 7.3 Professional Man starte das Module zur LDAP Konfiguration Danach wird bei den Security-Einstellungen gesagt, das MD5 benutzt werden soll Danach sollte alles gehen.
Ach ja, noch ein wenig Zusatzinfos: Server und Client laufen mit SuSE 7.3, nss_ldap von CD, OpenLDAP 2.0.17 mit Source selbst bebaut
Wenn Du eine 7.3 hast, warum machst Du es Dir dann so kompliziert ? Tschau, Thorsten -- Thorsten Kukuk http://www.suse.de/~kukuk/ kukuk@suse.de SuSE GmbH Deutschherrenstr. 15-19 D-90429 Nuernberg -------------------------------------------------------------------- Key fingerprint = A368 676B 5E1B 3E46 CFCE 2D97 F8FD 4E23 56C6 FB4B
Hallo Matthias,
From the keyboard of Matthias,
Hallo zusammen,
hat hier jemand Erfahrung mit den im Betreff angegebenen Themen?
Ja.
Wenn ja, kann er mir vielleicht mit einigen Hinweisen oder auch nur Tips zur Literatur weiterhelfen.
http://www.linuxdoc.org/HOWTO/LDAP-Implementation-HOWTO/ www.bayour.com/LDAPv3-HOWTO.html RFC's zum Thema.
Ich versuche gerade eine MD5 verschlüsselten Login gegen einen LDAP-Server zu realisieren. Das (noch weit entfernte) Endziel soll sein sowohl Linux als auch Dosen via Samba auf den selben LDAP-Eintrag zu zugreifen zu lassen (->single-sign-on).
Ich glaube bereits hier zu erkennen, das dein grundsätzliches Verständnis der Materie noch etwas hapert. MD5 - Message Digest Algorithmus 5 ist ein Hashalgorithmus, auch Einwegfunktion genannt. Dieser Algorithmus ermöglicht die Verschlüsselung der Passwörter (auch länger als 8 Zeichen). Openldap ermöglicht aber auch die Nutzung weiterer Hashalgorithmen zur Verschlüsselung der Passwörter. man slappasswd Dies führt uns auch schon zum nächsten Punkt, die Passwörter werden dann trotzdessen im Klartext über das Netzwerk geschickt. Ich zitiere, weil es einfach sehr treffend formuliert ist: Use of hashed passwords does not protect passwords during protocol transfer. TLS or other eavesdropping protections should be inplace before using LDAP simple bind. The hashed password values should be protected as if they were clear text pass words. Single-Sign-On hast du nach der Etablierung deines LDAP-Servers noch lange nicht, aber zumindestens Single Location of Passwords.
Laut den log-Dateien schafft es der Client den LDAP-Server nach dem User zufragen, und erhält auch Auskunft. Danach versucht der Client einen BIND mit der Kennung des Users, die auch gelingt. Aber dennoch ist die Authentisierung nicht erfolgreich. (Auf Anfrage kann ich gerne die Ausschnitte aus den Dateien schicken)
Ja, bitte.
Dabei verwirrt mich folgendes: In vielen Quellen wird für pam_unix.so ein Parameter md5 angegeben, nur leider funktioniert der bei mir nicht. (Für die, die sich jetzt wundern: ich verzweige erst in der nsswitch.conf in ldap ab. Mangels besseren Wissens nehme ich an, das /etc/pam.d/ vor nsswitch.conf abgearbeitet wird. Bitte um Berichtigung wenn das nicht so ist) Wo wird denn dann festgelegt wie das Passwort übertragen wird? Eine Veränderung des Parameters pam_password in der ldap.conf hat auf jeden Fall keine Auswirkung. Einen entsprechenden Parameter der nach nss ausschaut habe ich (noch) nicht gefunden. Übertrage ich das Passwort dann unverschlüsselt? Kann das der Grund dafür sein, das der Login nicht klappt?
Für die Userauthentifizierung gegen LDAP mußt du pam_ldap konfigurieren. Damit das Passwort nicht unverschlüsselt über die Leitung geht, mußt du TLS/SSLv3 aktivieren/verwenden. nss_ldap ist dafür gedacht Informationen, die von der C library auf deinem System benötigt werden, aus dem LDAP zu ziehen. (gibt es den User, die Gruppe ...)
Ich wäre sehr dankbar für die folgenden Informationen: - Kann mir jemand den genauen Zusammenhang zwischen PAM und dem NSSWITCH erklären (oder eine Literatur nennen wo das steht. Web/Buch)
man nsswitch.conf PAM-Guides, leicht über Google zu finden.
- Kennt jemand eine Website/ein Buch wo die Parameter der ldap.conf möglichst vollständig erklärt werden?
Welche ldap.conf? Von pam_ldap oder openldap-clients?
- Oder selbstverständlich auch Infos a la "Du hast XY falsch konfiguriert. Mach das so, dann funzs ..."
Ach ja, noch ein wenig Zusatzinfos: Server und Client laufen mit SuSE 7.3, nss_ldap von CD, OpenLDAP 2.0.17 mit Source selbst bebaut
Vielen Dank schon mal
bitte. bye Waldemar
participants (3)
-
Matthias Hoefel
-
Thorsten Kukuk
-
Waldemar Brodkorb