OpenLDAP zur Benutzerauthentifizierung
Hallo, kennt sich vielleich jemand damit aus? Ich möchte gerne LDAP statt der normalen /etc/passwd benutzen, auch um das ganze mit Windows Clients zu verheiraten. Dabei habe ich als HowTO eine Artikelserie aus der IX verwendet. Die Einrichtung hat eigentlich ganz gut funktioniert, nur leider habe ich ein Problem auf der Unix Seite. In der /etc/nsswitch.conf habe ich ldap hinter files als Namensauflösung eingetragen. In der LDAP Datenbank sind auch bereits einige Benutzer. Versuche ich diese jetzt mit getent passwd abzufragen, so zeigt das nss_ldap Modul einen Fehler an und aus den Logausgaben des LDAP Server geht hervor, daß eine Extension nicht unterstützt wird. Ich habe nach diese kryptischen Nummer gegoogelt und demnach steht dahinter die StartTLS Anweisung. Nun habe ich OpenLDAP nicht für SSL/TLS konfiguriert und auch in der Clientlibrary Konfiguration (/etc/ldap.conf) ist nur eine Kontaktaufnahme ohne Verschlüsselung konfiguriert. Was geht hier schief ? Mfg Jörg # # This is the configuration file for the LDAP nameservice # switch library, the LDAP PAM module and the shadow package. # # Your LDAP server. Must be resolvable without using LDAP. URI ldap://localhost # The distinguished name of the search base. base dc=jetsys,dc=de # The LDAP version to use (defaults to 3 # if supported by client library) ldap_version 3 # Don't try forever if the LDAP server is not reacheable bind_policy soft # The distinguished name to bind to the server with. # Optional: default is to bind anonymously. binddn cn=Manager,dc=jetsys,dc=de # The credentials to bind with. # Optional: default is no credential. bindpw XXXXXXXXX # The distinguished name to bind to the server with # if the effective user ID is root. Password is # stored in /etc/ldap.secret (mode 600) rootbinddn cn=Manager,dc=jetsys,dc=de Jul 9 07:32:26 xdaolin slapd[2241]: conn=702 fd=23 ACCEPT from IP=127.0.0.1:15332 (IP=0.0.0.0:389) Jul 9 07:32:26 xdaolin slapd[2241]: conn=702 op=0 EXT oid=1.3.6.1.4.1.1466.20037 Jul 9 07:32:26 xdaolin slapd[2241]: conn=702 op=0 do_extended: unsupported operation "1.3.6.1.4.1.1466.20037" Jul 9 07:32:26 xdaolin slapd[2241]: conn=702 op=0 RESULT tag=120 err=2 text=unsupported extended operation Jul 9 07:32:26 xdaolin slapd[2241]: conn=702 op=1 UNBIND Jul 9 07:32:26 xdaolin slapd[2241]: conn=702 fd=23 closed Jul 9 07:32:26 xdaolin slapd[2241]: conn=703 fd=23 ACCEPT from IP=127.0.0.1:15333 (IP=0.0.0.0:389) Jul 9 07:32:26 xdaolin slapd[2241]: conn=703 op=0 EXT oid=1.3.6.1.4.1.1466.20037 Jul 9 07:32:26 xdaolin slapd[2241]: conn=703 op=0 do_extended: unsupported operation "1.3.6.1.4.1.1466.20037" Jul 9 07:32:26 xdaolin slapd[2241]: conn=703 op=0 RESULT tag=120 err=2 text=unsupported extended operation Jul 9 07:32:26 xdaolin slapd[2241]: conn=703 op=1 UNBIND Jul 9 07:32:27 xdaolin slapd[2241]: conn=703 fd=23 closed Jul 9 07:32:27 xdaolin getent: nss_ldap: could not search LDAP server - Server is unavailable
* Donnerstag, 10. Juli 2008 um 10:10 (+0200) schrieb Jörg Spilker:
kennt sich vielleich jemand damit aus? Ich möchte gerne LDAP statt der normalen /etc/passwd benutzen, auch um das ganze mit Windows Clients zu verheiraten. Dabei habe ich als HowTO eine Artikelserie aus der IX verwendet. Die Einrichtung hat eigentlich ganz gut funktioniert, nur leider habe ich ein Problem auf der Unix Seite. In der /etc/nsswitch.conf habe ich ldap hinter files als Namensauflösung eingetragen. In der LDAP Datenbank sind auch bereits einige Benutzer. Versuche ich diese jetzt mit getent passwd abzufragen, so zeigt das nss_ldap Modul einen Fehler an und aus den Logausgaben des LDAP Server geht hervor, daß eine Extension nicht unterstützt wird. Ich habe nach diese kryptischen Nummer gegoogelt und demnach steht dahinter die StartTLS Anweisung. Nun habe ich OpenLDAP nicht für SSL/TLS konfiguriert und auch in der Clientlibrary Konfiguration (/etc/ldap.conf) ist nur eine Kontaktaufnahme ohne Verschlüsselung konfiguriert.
Zeige doch auch mal "/etc/openldap/slapd.conf" und "/etc/openldap/ldap.conf". Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Andreas Koenecke
-
Jörg Spilker