Hallo,
Ich habe bei meinen Client-PCs eine Authentifizierung mit PAM über LDAP. Diese lief momentan mit einem einzigen LDAP-Server, der die Benutzer und Gruppen hält. Als Datenbank benutzt dieser die Berkley Datanbank (bdb).
Nun habe ich einen MySQL-Cluster mit ndb aufgesetzt und auf die Daten-Nodes jeweils einen LDAP-Server integriert, der als Backend das ndb (also das MySQL-Cluster) benutzt. Dafür habe ich den beiden neuen LDAP-Servern die alte slapd.conf gegeben und nur den Datenbank-Part ausgetauscht. Diese funktionieren auch einwandfrei und verhalten sich genau so, wie der alte LDAP-Server (und haben den exakten Datenbestand des alten LDAP-Servers).
Nun habe ich zwei Dienste, die Daten von dem LDAP-Server erwarten: am-utils und pam. Ich habe jeweils die IP-Adressen in der Konfiguration eines Clients auf das neue LDAP-Cluster geändert doch es scheint, als wäre irgendetwas nicht in Ordnung:
Meine Benutzer können sich jetzt auf dem Client anmelden (mit den Accounts, die auf dem LDAP-Cluster definiert sind). Doch die Zuordnung der Gruppen scheint nicht zu funktionieren:
Ein id <username> liefert beispielsweise
uid=1016(<username>) gid=1007
obwohl der Benutzer in mehr als nur der Gruppe 1007 Mitglied ist und diese auch einen Namen hat...
ein finger <username> funktioniert wunderbar. Auch mit getent passwd/groups bekomme ich die komplette Liste von Gruppen und Benutzern angezeigt.
ein ldapsearch -x liefert die kompletten Daten des LDAP-Servers.
Die Maps, die der am-utils Client aus dem LDAP lesen sollte funktionieren ebenfalls nicht.
Den Name Service Caching Daemon (nscd) habe ich bereits abgeschaltet (nscd -K) und alle seine Caches geleert. Auch wurde der Rechner bereits neu gestartet.
Ein Blick in das LOG des LDAP-Clusters zeigt, dass immer Anfragen (also zb bei id <user>) an dem Server gestellt werden, die auch ausgewertet und zurück zum Client geschickt werden.
Doch alles das hat nichts genutzt!
Jetzt ist die Frage: Wiese bekommt PAM die Daten des LDAP-Servers nicht, getent und finger jedoch schon ?
PAM über LDAP: getent passwd funktioniert / id <user> nicht
Re: PAM über LDAP: getent passwd funktioniert / id <user> nicht
Vielleicht könntest du einen Blick in die libnss-ldapd statt libnss-ldap werfen.
Die Konfigurationsdatei wird unter /etc/nss-ldapd.conf gespeichert.
Diese hat mein LDAP auch mal in Chaos gebracht.
Die Konfigurationsdatei wird unter /etc/nss-ldapd.conf gespeichert.
Diese hat mein LDAP auch mal in Chaos gebracht.