Keine Mitglieder bei LDAP-Gruppen

[carfal]

Hallo,
ich habe bei Debian Squeeze ein Problem mit den Mitgliedern der LDAP-Gruppen. getent group zeigt zwar die LDAP-Gruppen, aber im Gegensatz zu lokalen Gruppen nicht aber deren Mitglieder an. Die Ausgabe von ldapsearch -x cn=gruppenname listet alle Gruppenmitglieder auf, auf opensuse-Rechnern gibt getent group die LDAP-Gruppen mit Mitgliedern aus. Ich vermute deshalb, dass es sich um ein Konfigurationproblem auf dem Client handelt.

Hier sind alle erwähnungen von ldap im Verzeichnis /etc/pam.d/:

Code: Alles auswählen

root@asdf:/etc/pam.d# for i in *;do grep ldap $i&&echo -e /etc/pam.d/$i'\n';done
account [success=ok new_authtok_reqd=done ignore=ignore user_unknown=ignore authinfo_unavail=ignore default=bad]        pam_ldap.so
/etc/pam.d/common-account

auth    [success=1 default=ignore]      pam_ldap.so use_first_pass
/etc/pam.d/common-auth

password        [success=1 default=ignore]      pam_ldap.so try_first_pass
/etc/pam.d/common-password

session [success=ok default=ignore]     pam_ldap.so
/etc/pam.d/common-session

session [success=ok default=ignore]     pam_ldap.so 
/etc/pam.d/common-session-noninteractive

Hier die /etc/ldap/ldap.conf:

Code: Alles auswählen

host    ldap.asdf.de
base    o=asdf,c=de
bind_policy     soft
pam_lookup_policy       yes
pam_password    exop
nss_initgroups_ignoreusers      root,ldap
nss_schema      rfc2307bis
nss_map_attribute       uniqueMember member
ssl     start_tls
ldap_version    3
pam_filter      objectClass=posixAccount
tls_checkpeer   no

und die /etc/nsswitch.conf:

Code: Alles auswählen

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis 

Also, ich habe libpam_ldapd installiert, den LDAP-Server und die Base-DN angegeben: LDAP-Authentifikation funktioniert, LDAP-Gruppen werden übertragen, Mitglieder der LDAP-Gruppen werden nicht übertragen. Wie schaffe ich es, dass den Benutzern alle Gruppenmitgliedschaften der LDAP-Gruppen zugeordnet werden?

TIA, carfal

[carfal]

So, inzwischen bin ich schlauer.
libnss-pam-ldapd wertet /etc/ldap/ldap.conf nicht aus und somit wird die Ersetzung

Code: Alles auswählen

nss_map_attribute       uniqueMember member

nicht ausgeführt. Die bei Squeeze mitgelieferte man nslcd.conf(5) ist leider nicht ganz aktuell.
Nach dem lesen von http://arthurdejong.org/nss-pam-ldapd/nslcd.conf.5 habe ich die Lösung gefunden.
Es muss in /etc/nslcd.conf die Zeile

Code: Alles auswählen

map group uniqueMember member

ergänzt werden, dann funktioniert es auch mit den Gruppenmitgliedern.