-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo allerseits, ich sitze vor einer SuSE 10.0, die sich gegen den firmeneigenen LDAP-Server authentifiziert. Jeder im LDAP eingetragene User kann sich anmelden, pam_mkhomedir.so sorgt dafür ;-) Dieselbe Konstruktion möchte ich in einer VMWare, die auf der 10.0 läuft (bridged networking), mit SUSE 10.1 erreichen. Die 10.1-VMWare wurde von der "Remastered"-DVD erstellt. Unter Netzwerkdienste -> LDAP-Client sind die Werte so eingetragen wie unter der 10.0. Wenn ich in der Userverwaltung den Filter auf LDAP-User setze, erscheinen auch alle, also die Kommunikation klappt. Wenn ich mich als root auf der Kiste anmelde, erhalte ich keinen Fehler, nur ein "pmvarrun: parsed count value 2". Arbeiten geht wie immer. Wenn ich versuche, mich mit meinem LDAP-Account auf der Kiste anzumelden, erhalte ich ein "Berechtigungen für die Passwort-Datenbank sind möglicherweise zu restriktiv". Die Permissions sind auf easy,local gesetzt (das war das einzige, was mir Gugel dazu mitteilte). In /var/log/messages finde ich: login[6380]: pam_unix2(login:auth): user=0, password=1, at_same_time=1 login[6380]: FAILED LOGIN 1 from /dev/tty4 FOR wflamme, Fehler bei Authentifizierung Sehr aussagekräftig. In /etc/security/pam_unix2.conf stehen 4 unkommentierte Zeilen(sowohl bei 10.0 als auch 10.1): auth: use_ldap account: use_ldap password: use_ldap session: none Die Datei /etc/pam.d/login sieht bei der 10.1 so aus: #%PAM-1.0 auth required pam_securetty.so auth include common-auth auth required pam_nologin.so auth optional pam_mount.so use_first_pass use_authtok account include common-account password include common-password session include common-session session required pam_lastlog.so nowtmp session required pam_resmgr.so session optional pam_mail.so standard session optional pam_mkhomedir.so use_first_pass use_authtok session optional pam_mount.so use_first_pass use_authtok Auch auskommentieren der Zeile mit pam_lastlog.so und das Wegnehmen des Parameters bei pam_mail.so bringt keine andere Meldung. Die /etc/nsswitch.conf enthält u. a. folgende unkommentierte Einträge: passwd: compat group: compat netmasks: files netgroup: files ldap publickey: files bootparams: files automount: files ldap aliases: files ldap passwd_compat: ldap group_compat: ldap alles wie bei der 10.0, wo es keine Probleme gibt. Hat jemand einen Hinweis, wo ich noch hinsehen muss? Oder wo ich ein aussagefähiges Log finde? Oder wonach ich eine Suchmaschine meiner Wahl ;-) befragen sollte? Übrigens bin ich der Meinung, dass ich schon mal eine 10.1 mit funktionierender LDAP-Authentifizierung hinbekommen habe - ich musste unsere "pam_mount-Vergewaltigung" von der 10.0 auf die 10.1 portieren. Die Maschine ist inzwischen Printserver unter SLES 10, da kann ich nicht mehr nachsehen :-( Freundlicher Gruß Werner - -- Werner Flamme, Abt. WKDV UFZ Umweltforschungszentrum Leipzig-Halle GmbH, Permoserstr. 15 - 04318 Leipzig Tel.: (0341) 235-3921 - Fax (0341) 235-453921 http://www.ufz.de - eMail: werner.flamme@ufz.de -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org iD8DBQFFPdx/k33Krq8b42MRAptfAJ9AlAoHtfZCIoHHz/WM92OCd8TH5QCeKd7K oySB/MH+JELCR4NHlv1qZLw= =Cliw -----END PGP SIGNATURE-----