[solved] LDAP/NSS/PAM - getent liefert keine User aus LDAP

[DennisM]

Hallo alle miteinander,
so langsam verzweifle ich an oben genannter Kombination. Ziel ist es einen PDC über Samba zu realiesieren für das lokale Netzwerk daheim. Ich habe verschiedene Howto's probiert (unter anderem dieses: http://edin.no-ip.com/content/ldap-samb ... enny-howto) und bin dann doch immer wieder über das selbe Problem gestolpert, nämlich das "getent passwd" bzw. "getent group" keine Benutzer bzw. Gruppen aus dem LDAP Baum ausweisen. Ein "ldapsearch" funktioniert. In den Logfiles war nichts zu sehen.

Zwischendurch hatte ich auch reine Auth Lösungen über LDAP ohne Samba probiert, gleiches Problem "id user" liefert kein Ergebniss. Bin ich so blond?

Ich habe mehrmals das Betriebssystem (Debian Lenny) neu aufgesetzt um wirklich sicher zu gehen keinen Konfigurationsfehler aus einem vorherigem Versuch drin zu haben.

Also woran kann es liegen? Daran das es auf einem Sheevaplug also einem Plug Computer läuft ja wohl mal kaum. Oder doch (Armel-Architektur)?

Also wer hat Tipps für mich unter anderem auch zum Debuggen um dem ganzen auf der Spur zu kommen?
Eine Step by Step Anleitung mit zwischenzeitlichem Debugging oder Tests wäre supie.

Vielen lieben Dank schon mal im vorraus für eure Hilfe.
Dennis

[fbartels]

Hi,

wie sieht denn so ein User bei dir im LDAP aus? Ich bin mal fast daran verzweifelt, weil ich vergessen hatte die Usern die Objectid "posixaccount" mitzugeben..

[DennisM]

Code: Alles auswählen

sheeva:~# ldapsearch -x uid=user
# extended LDIF
#
# LDAPv3
# base <dc=home,dc=net> (default) with scope subtree
# filter: uid=user
# requesting: ALL
#

# user, people, home.net
dn: uid=user,ou=people,dc=home,dc=net
uid: user
uidNumber: 20000
gidNumber: 20000
cn: User
sn: User
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
loginShell: /bin/bash
homeDirectory: /home/user

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Daran sollte es nicht liegen.. denk ich. Ich bekomme über "getent passwd" oder "id user" auch keine Ergebnisse angeeigt, heißt der Zugriff auf den LDAP Tree hängt irgendwo, nur wo? Brauch ich unter Lenny noch zusätzlich eine /etc/ldap.conf? Wo kann ich den Client Konfigurieren und in welchem Paket ist er mit drin?

Edit:
Also, ich hab mir eben nochmal nen paar Gedanken zu meinem Problem gemacht, es kann ja momentan nur an der libnss-ldap Konfiguration liegen oder? Diese ist doch für die "Brücke" zwischen lokalen Tools und LDAP zuständig. PAM ist ja erst für den Auth vorgang nötig, soweit bin ich ja noch gar nicht Der NSCD Dämen ist übrigens abgestellt.

[DennisM]

Keiner eine Idee? Ich bekomme auch keine Debug Meldungen im Log. Ich poste mal meine Config.

/etc/ldap/ldap.conf

Code: Alles auswählen

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE	dc=home,dc=net
URI	ldap://127.0.0.1/

#SIZELIMIT	12
#TIMELIMIT	15
#DEREF		never

rootbinddn cn=admin,dc=home,dc=net

ssl off

debug 10

/etc/ldap/slapd.conf
34401

/etc/libnss-ldap.conf
34402

/etc/nsswitch.conf

Code: Alles auswählen

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat
group:          compat
shadow:         compat
passwd_compat:  ldap
group_compat:   ldap
shadow_compat:  ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

/etc/pam_ldap.conf
34399

Vielen Dank fürs drüber gucken.. es muss doch einen Grund haben..

[Danielx]

Code-Abschnitte nach NoPaste ausgelagert, denn 140, 325 und 296 Zeilen sind dann doch etwas zu viel.
Bitte beachte Punkt 2.6 der Verhaltensregeln.

Gruß,
Daniel

[sdh82]

Wenn du deine ou,dc-Einträge nicht konsistenz durchziehst, wird das nichts.
Überprüf deine Konfigurationsdateien, die du hier gestellt hast, mach es 100-mal wenn es sein muss.

[DennisM]

Okay, in der pam Config stehen falsche Werte für die Base.
Ich kann es gerade nicht ausprobieren, aber das sollte doch nicht der Grund sein warum ein "getent passwd" die User aus LDAP nicht listet oder? Dafür ist dich die NSS Lib zuständig?

Oder hab ich was falsch verstanden?

[sdh82]

Unter libnss-ldap.conf steht auch Fehler. und mach doch bei nsswitch.conf compat ldap statt was du oben schreibst.

[DennisM]

Okay, die nsswitch.conf hab ich geändert.
Hmm in der libnss-ldap.conf find ich jetzt nichts.. ich hab wohl Tomaten auf den Augen, ich hab gerade mal Probiert ob es an Groß-/Kleinschreibung liegen könnte.

Code: Alles auswählen

nss_base_passwd	ou=people,dc=home,dc=net
nss_base_shadow	ou=people,dc=home,dc=net
nss_base_group	ou=group,dc=home,dc=net

Weil in den Log's tauch bei einem Zugriff über phpldapadmin folgendes auf:

Code: Alles auswählen

Mar  8 20:56:19 sheeva slapd[1547]: conn=21 fd=15 ACCEPT from IP=127.0.0.1:43242 (IP=0.0.0.0:389)
Mar  8 20:56:19 sheeva slapd[1547]: conn=21 op=0 BIND dn="cn=admin,dc=home,dc=net" method=128
Mar  8 20:56:19 sheeva slapd[1547]: conn=21 op=0 BIND dn="cn=admin,dc=home,dc=net" mech=SIMPLE ssf=0
Mar  8 20:56:19 sheeva slapd[1547]: conn=21 op=0 RESULT tag=97 err=0 text=
Mar  8 20:56:19 sheeva slapd[1547]: conn=21 op=1 SRCH base="cn=user,ou=group,dc=home,dc=net" scope=1 deref=0 filter="(objectClass=*)"
Mar  8 20:56:19 sheeva slapd[1547]: conn=21 op=1 SRCH attr=dn
Mar  8 20:56:19 sheeva slapd[1547]: conn=21 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Mar  8 20:56:19 sheeva slapd[1547]: conn=21 op=2 SRCH base="cn=user,ou=group,dc=home,dc=net" scope=0 deref=0 filter="(objectClass=*)"
Mar  8 20:56:19 sheeva slapd[1547]: conn=21 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Mar  8 20:56:19 sheeva slapd[1547]: conn=21 op=3 UNBIND
Mar  8 20:56:19 sheeva slapd[1547]: conn=21 fd=15 closed

Sorry ich steh auf dem Schlauch..

[sdh82]

die Groß-Kleinschreibung macht schon was aus. und nscd neugestartet?

[DennisM]

Jop, der NSCD ist aus. Auch wenn ich ihn anmache keine Veränderung.
Heute abend kann ich höchstens nochmal nen Reboot probieren.

[sdh82]

der NSCD soll an sein und nach Änderung an libnss, der nscd neugestartet werden

[DennisM]

Also ein reboot hat auch nichts gebracht.. immer noch keine Ausgabe.
Noch eine Idee? Soll ich eventuell nochmal die aktuelle Konfiguration posten?

[sdh82]

Ich habe deine Konfiguration in virtueller Maschine probiert und die genannte Fehler halbwegs beseitigt und es hats funktioniert. getent passwd am Server angeschmissen und hats die User in ldif-Datei angezeigt.

Weiß nicht was für Fehler du gemacht hast.

[DennisM]

Also mir ist nachdem ich einen export in eine ldif-Datei durchgeführt hatte aufgefallen das es hier mischungen von Groß-/Kleinschreibung bei den ou für Gruppen und User gab, diese wurden aber trotzdem in phpldapadmin richtig zugeordnet. Hmm.

Nun ja, also die LDAP Datenbank gelöscht und neu angelegt. Nun passt es dort, es ist alles Kleingeschrieben. Trotz allem liefert getent passwd keine Ausgabe. NSCD hatte ich natürlich vorher neu gestartet.

Verdammt, wo liegt dieser Fehler?

Edit:
Fuck off ey.. ich hab gerade mal probiert libnss-ldapd statt libniss-ldap zu nehmen.. und ohne weitere Probleme wird jetzt mein User aus dem LDAP Tree angezeigt.. Bug in der lib? Oder wie? Konfig exakt wie vorher...

Fettes DANKE an dich für deine Hilfe und Engelsgeduld.

[sharbich]

Hallo Ihr Lieben,

nachdem ich auf meinen Debian Server den nscd Dienst und die libnss-ldap neu deinstalliert und installiert habe bekomme ich mit getent passwd nicht mehr meine LDAP Benutzer angezeigt.

Ich weis einfach nicht mehr weiter.

Lieben Gruß von Stefan Harbich