Anke Boernig schrieb:
Hallo,
Thomas Mittereder schrieb:
Hallo Liste,
ich habe einen LDAP-Server mit TLS laufen. Dann dem Server kann ich mich als LDAP-User remote per SSH aber nicht mehr einloggen. Beim Einlogversuch werden unter anderem folgende Einträge im Log-File gemacht: Feb 4 10:50:11 orion sshd[7021]: fatal: login_get_lastlog: Cannot find account for uid 234 Feb 4 10:50:11 orion sshd[7021]: syslogin_perform_logout: logout() returned an error
Melde ich mich per ssh als lokaler User an geht das sehr wohl. Wenn ich dann mit "su LDAPUser" zu einem LDAPUser mache und dann "whoami" eingebe kommt die Meldung "whoami: cannot find username for UID 234".
Ich kann mich auch als LDAP-User direkt an dem Server anmelden und es stimmen dann auch alle Einstellungen (Shell, Home-Verzeichnis, usw.). Wenn ich ein whoami absetzte bekomme ich aber die gleiche Meldung. Beim Auflisten des Home-Verzeichnises mit "ll" wird auch nicht der User und die Gruppe mit Namen angezeigt, sondern nur deren Nummer.
Hängt das mit der PAM-Konfiguration zusammen?
Ja, vermutlich.
Wie hast Du denn die Authentifizierung auf ldap umgestellt?
Bei SuSE gibt es die PAM-Konfigurationsdatei /etc/security/pam_unix2.conf; wenn Du mit YaST auf LDAP umstellst, wird in diese Datei folgendes eingetragen:
auth: use_ldap account: use_ldap password: use_ldap
Das sorgt dafür, dass immer LDAP verwendet wird, wo sonst das Standard-PAM-Modul "pam_unix2" verwendet würde.
Ansonsten gibt es für jeden Dienst, der PAM nutzt, eine Datei in /etc/pam.d/; man müsste dann dort in der Datei jedes Deinstes, der LDAP nutzen soll, das "pam_unix2.so" durch "pam_ldap.so" ersetzen.
Und in der Datei /etc/nsswitch.conf muss für passwd und group zusätzlich "ldap" eingetragen sein.
HTH, Anke
Guten Morgen, Bevor ich LDAP mit TLS verwendet habe konnte ich mich mit ssh anmelden. Es funkioniert ja mit allen LDAP-Usern nicht. Der Eintrag im LDAP sieht für einen Account so aus: dn: uid=teichman,ou=People,dc=hft,dc=de uid: teichman cn: teichman objectClass: account objectClass: posixAccount objectClass: top userPassword: {crypt}s/rLGDvjaT9WI loginShell: /opt/bash/bin/bash uidNumber: 107 gidNumber: 103 homeDirectory: /home/fstudents/teichman gecos: ,ask dressel,, Ich habe diesen Account gewählt da meiner (uid 234) jetzt seltsamerweise funktioniert. Ich melde mich von meinem lokalen Rechner (ohne LDAP,login mittered,uid1000) an dem Server mit "ssh orion -l teichman" an und bekomme üblich Fehlermeldung. Melde ich mich mit "ssh orion" an funkioniert das jetzt. Setze ich dann ein "su teichman" ab, werde ich zu teichman. Der Server kann aber wie vorher bei mir den Namen teichman nicht der uid107 zuweisen. Meine Dateien sehen so aus: /etc/security/pam_unix2.conf: auth: use_ldap account: use_ldap password: use_ldap session: none /etc/pam.d/login: auth required pam_securetty.so auth required pam_nologin.so auth sufficient pam_ldap.so auth required pam_unix2.so nullok try_first_pass set_secrpc account sufficient pam_ldap.so account required pam_unix2.so password required pam_pwcheck.so nullok password required pam_ldap.so use_first_pass use_authok password required pam_unix2.so nullok use_first_pass use_authtok session required pam_unix2.so none # debug or trace session required pam_limits.so session required pam_env.so session optional pam_mail.so /etc/pam.d/sshd: auth required pam_nologin.so auth sufficient pam_ldap.so auth required pam_unix2.so use_first_pass # set_secrpc account required pam_unix2.so password required pam_pwcheck.so password required pam_ldap.so use_authtok password required pam_unix2.so use_first_pass use_authtok session required pam_unix2.so session required pam_limits.so session required pam_env.so session optional pam_mail.so nsswitch.conf passwd: ldap files group: ldap files shadow: ldap files hosts: files lwres dns networks: ldap files dns services: ldap files protocols: ldap files rpc: ldap files ethers: ldap files netmasks: files netgroup: ldap files publickey: files bootparams: files automount: ldap aliases: files Ich denke das ist Ok, oder? Gruß, Thomas