Hallo Manfred,
"Manfred Schmid"
Morgen
[...]
habe das ganze nun unter SLES 7 versucht ! Gleiches Problem !
Ich kann mich einloggen, bekomme aber die Meldung
You must be a member of cn=l1mon,ou=Groups,ou=sup,o=system to login.
sofern ich nicht Mitglied der Gruppe l1mon bin !
Also ließt pam anscheinend die ldap.conf richtig! Und ich vermute einen Fehler in der /etc/pam.d/sshd oder in pam_ldap selbst ! Version "pam_ldap-105-55"
/etc/pam.d/sshd sieht so aus !
#%PAM-1.0 auth required pam_nologin.so auth sufficient pam_ldap.so auth required pam_unix.so # set_secrpc auth required pam_env.so account required pam_nologin.so account sufficient pam_ldap.so account required pam_unix.so password sufficient pam_ldap.so password required pam_pwcheck.so password required pam_unix.so use_first_pass use_authtok session required pam_unix.so none # trace or debug session required pam_limits.so
Das hat mir nun keine Ruhe gelassen und ich bin in die Tiefen von pam und pam_ldap hinabgestiegen, eine fertige Lösung habe ich aber nicht gefunden :-( Ich vermute aber, dein Problem liegt bei 'login' oder sshd. Das Taskmodul 'auth' prüft primär die Identität und das Paßwort des Anwenders und gibt bei Erfolg ein OK, weiterhin kann dieses Taskmodul Gruppenmitgliedschaften gewähren (group membership) durch die Übergabe weiterer Daten (credential granting). Das Modul pam_ldap gibt also das OK für das richtige Paßwort und übergibt auch die weiteren Informationen über Gruppenzugehörigkeit, es liegt nun an login (oder sshd) diese Informationen zu verwerten. Wie das nun aber konfiguriert werden muß, kann ich dir auch nicht sagen. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de