ldap und pam problem....

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Benutzeravatar
Sibob
Beiträge: 37
Registriert: 28.10.2003 19:39:58
Wohnort: Aachen
Kontaktdaten:

ldap und pam problem....

Beitrag von Sibob » 05.08.2005 18:59:29

Hallo

Ich habe ein Problem bei der pam auth.
Ich kann mich nicht über ldap auf meinem server einloggen. Das pam macht probleme, wenn ich zb. mit "ssh testuser@ip " mich auf den server einloggen will. Zuerst
will er das passwort und danach noch ein ldap-passwort. Aber nein, nix da!

Wenn ich mich allerding als root anmelde, und dann zweimal mein pw angebe gibt es keine probleme. Dann bin ich drin...


In der auth log kommt dann die meldung (mmt ist mein testuser) :

Code: Alles auswählen

Aug  5 12:13:24 samba-ldap sshd[23364]: PAM adding faulty module:
/lib/security/pam_ldap
Aug  5 12:13:35 samba-ldap sshd[23364]: (pam_unix) check pass; user unknown
Aug  5 12:13:35 samba-ldap sshd[23364]: (pam_unix) authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.241
Aug  5 12:13:37 samba-ldap sshd[23364]: error: PAM: Authentication
service cannot retrieve authentication info. for mmt from
192.168.100.241Aug  5 12:13:41 samba-ldap sshd[23364]: (pam_unix) check
pass; user unknown
Aug  5 12:13:43 samba-ldap sshd[23364]: error: PAM: Authentication
service cannot retrieve authentication info. for mmt from 192.168.100.241
Aug  5 12:15:35 samba-ldap sshd[23374]: (pam_unix) check pass; user unknown
Aug  5 12:15:35 samba-ldap sshd[23374]: (pam_unix) authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.100.241
Aug  5 12:15:42 samba-ldap sshd[23374]: error: PAM: Authentication
service cannot retrieve authentication info. for mmt from
192.168.100.241Aug  5 12:17:01 samba-ldap CRON[23383]: (pam_unix)
session opened for user root by (uid=0)
Aug  5 12:17:01 samba-ldap CRON[23383]: (pam_unix) session closed for
user root
Aug  5 12:25:29 samba-ldap sshd[23374]: fatal: Timeout before
authentication for ::ffff:192.168.100.241

mach ich es allerdings mit root:

Code: Alles auswählen

Aug  5 12:27:30 samba-ldap sshd[23396]: Accepted
keyboard-interactive/pam for root from ::ffff:192.168.100.241 port 58868
ssh2
Aug  5 12:27:31 samba-ldap sshd[23399]: (pam_unix) session opened for
user root by root(uid=0)
wie mann sieht gibt es da keine problem.


Was hab ich jetzt wieder vergessen oder falsch gemacht?
ps: Habe alle beiträge über ldap & pam hier im forum gelesen... halfen nix.
Diese Message wurde erstellt mit freundlicher Unterstützung eines Pinguins aus artgerechter Freilandhaltung.

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 05.08.2005 19:58:37

verschoben von Dateiserver

Gruß Savar

PS: hast du diesen User der nicht geht auch in der /etc/passwd eingerichtet oder nur in ldap??
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

Benutzeravatar
Sibob
Beiträge: 37
Registriert: 28.10.2003 19:39:58
Wohnort: Aachen
Kontaktdaten:

Beitrag von Sibob » 05.08.2005 21:46:11

nur in ldap.

Aber ich dachte das ist auch der sin daran, das nur ein user angelegt werden muss und das system übergreifend für ssh, ftp und samba funktioniert.?!

Ist das nicht eine der LDAP Ideen?



mfg
sibob
Diese Message wurde erstellt mit freundlicher Unterstützung eines Pinguins aus artgerechter Freilandhaltung.

Benutzeravatar
Savar
Beiträge: 7174
Registriert: 30.07.2004 09:28:58
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Beitrag von Savar » 06.08.2005 01:48:38

ja aber ich kann dir jetzt sagen mit ziemlicher Sicherheit sagen, dass LDAP nicht funzt.. Root kann sich nur einloggen, weil er einen lokalen Account hat.

Was da genau schief läuft, kann ich dir nicht sagen.. ist alles recht komplex.. ich komm leider grad nicht an den Server bei dem ich das mal erfolgreich eingerichtet habe..

die slapd Logdateien wären wahrscheinlich interessant.. oder du startest den slapd mal von Hand mit Debugging..
MODVOICE/MYVOICE
Debianforum Verhaltensregeln
Log Dateien? -> NoPaste

Andreas
Beiträge: 129
Registriert: 12.10.2002 22:13:50
Wohnort: Berlin / Tallinn, Estonia

Beitrag von Andreas » 06.08.2005 02:52:57

eventuell wäre es hilfreich zu wissen wie bei dir die betreffenden dateien in /etc/pam.d/ ausschauen und wie du die /etc/nsswitch.conf konfiguriert hast.

ich selber verwende ldap zur authentifizierung von postfix und proftpd. hast du auf dem system eine ldap-anmeldung an anderen services hinbekommen?

jakob
Beiträge: 130
Registriert: 13.12.2004 17:32:03

Beitrag von jakob » 06.08.2005 10:07:08

Hi Sibob,

also, wenn ich dich richtig verstehe, willst du mit einem nur im LDAP existierenden User dich am LDAP Server per ssh anmelden.

1.) Test, ob der User ueberhaupt nutzbar ist:

Code: Alles auswählen

getent passwd
Wenn nicht die /etc/nsswitch.conf anpassen.

2.) PAM konfigurieren.

apt-get install libpam-ldap
cp /usr/share/doc/libpam-ldap/examples/pam.d/ssh /etc/pam.d/
editieren der /etc/pam_ldap.conf

Jetzt solltest du alle Dienste aus /etc/pam.d ueber ldap nutzen koennen.

Soweit klar?

Ach ja, zum debugging ist es manchmal auch sinnvoll, den slapd auf der konsole zu starten:

Code: Alles auswählen

/etc/init.d/slapd stop
slapd -d 786 -f /etc/ldap/slapd.conf
Liebe Gruesse,

Jakob

Benutzeravatar
Sibob
Beiträge: 37
Registriert: 28.10.2003 19:39:58
Wohnort: Aachen
Kontaktdaten:

Beitrag von Sibob » 08.08.2005 09:32:47

Morgen.

Also:

@ Savar, ich kann mich mit root über ssh einlogen, stimmt. ob es daran liegt das er auch einen localen account hat ... mhhh* hier erstmal meine passwd:

Code: Alles auswählen

samba-ldap:~# getent passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
Debian-exim:x:102:102::/var/spool/exim4:/bin/false
sshd:x:100:65534::/var/run/sshd:/bin/false
+::0:0:::
root:x:0:0:Netbios Domain Administrator:/home/root:/bin/false
nobody:x:999:514:nobody:/dev/null:/bin/false
seb:x:1002:513:System User:/home/seb:/bin/bash
samba-ldap:~#
der mmt TestUser steht nicht drin. seb aber, wobei er sich auch nicht einloggen kann.


@ Andreas, nein das ldap leuft noch nirgens. (leider). Ich möchte es auch erstmal nur für ssh und samba haben! ps: samba rennt auch nur mit dem root acount!

zuerst mal mein /etc/nsswitch.conf :

Code: Alles auswählen

# /etc/nsswitch.conf

passwd:         files ldap
group:          files ldap
shadow:         files ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
in meiner /etc/pam.d/ befinden sich folgende dateien:

Code: Alles auswählen

samba-ldap:/etc/pam.d# ls
chfn  chsh  common-account  common-auth  common-password  common-session  cron  login  other  passwd  ppp  samba  ssh  su
@ jakob, libpam-ldap ist installiert, und ich denke auch konfiguriert. Hier meine /etc/pam_ldap.conf

Code: Alles auswählen

###DEBCONF###
host 127.0.0.1
base dc=samba-ldap,dc=de
ldap_version 3
rootbinddn cn=admin,dc=samba-ldap,dc=de
pam_password crypt
Die debug ausgabe schmeisst ganzschön viel raus. hier ein schnipsel eines log versuchs...

Code: Alles auswählen

conn=2 op=3 SRCH base="ou=Users,dc=samba-ldap,dc=de" scope=1 deref=0 filter="(&(objectClass=shadowAccount)(uid=seb))"
conn=2 op=3 SRCH attr=uid userPassword shadowLastChange shadowMax shadowMin shadowWarning shadowInactive shadowExpire shadowFlag
  0000:  30 75 02 01 04 64 70 04  24 75 69 64 3d 73 65 62   0u...dp.$uid=seb
  0010:  2c 6f 75 3d 55 73 65 72  73 2c 64 63 3d 73 61 6d   ,ou=Users,dc=sam
  0020:  62 61 2d 6c 64 61 70 2c  64 63 3d 64 65 30 48 30   ba-ldap,dc=de0H0
  0030:  0c 04 03 75 69 64 31 05  04 03 73 65 62 30 38 04   ...uid1...seb08.
  0040:  0c 75 73 65 72 50 61 73  73 77 6f 72 64 31 28 04   .userPassword1(.
  0050:  26 7b 53 53 48 41 7d 56  6b 6f 55 38 69 42 30 51   &{SSHA}VkoU8iB0Q
  0060:  78 2f 77 75 62 68 57 46  37 78 70 5a 74 35 70 32   x/wubhWF7xpZt5p2
  0070:  5a 5a 36 57 6d 68 58                               ZZ6WmhX
ldap_write: want=119, written=119
  0000:  30 75 02 01 04 64 70 04  24 75 69 64 3d 73 65 62   0u...dp.$uid=seb
  0010:  2c 6f 75 3d 55 73 65 72  73 2c 64 63 3d 73 61 6d   ,ou=Users,dc=sam
  0020:  62 61 2d 6c 64 61 70 2c  64 63 3d 64 65 30 48 30   ba-ldap,dc=de0H0
  0030:  0c 04 03 75 69 64 31 05  04 03 73 65 62 30 38 04   ...uid1...seb08.
  0040:  0c 75 73 65 72 50 61 73  73 77 6f 72 64 31 28 04   .userPassword1(.
  0050:  26 7b 53 53 48 41 7d 56  6b 6f 55 38 69 42 30 51   &{SSHA}VkoU8iB0Q
  0060:  78 2f 77 75 62 68 57 46  37 78 70 5a 74 35 70 32   x/wubhWF7xpZt5p2
  0070:  5a 5a 36 57 6d 68 58                               ZZ6WmhX
conn=2 op=3 ENTRY dn="uid=seb,ou=Users,dc=samba-ldap,dc=de"
  0000:  30 0c 02 01 04 65 07 0a  01 00 04 00 04 00         0....e........
ldap_write: want=14, written=14
  0000:  30 0c 02 01 04 65 07 0a  01 00 04 00 04 00         0....e........
conn=2 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
ldap_read: want=8, got=0

conn=2 fd=14 closed
ldap_read: want=8, got=0

conn=3 fd=15 closed


Vieleicht würde mir auch nur einfach mal ein funktionierendes HowTo weiterhelfen. Im Netz die habe ich schon weitgehens alle ausprobiert... Und die im Linux-Magazin (z.b.) sag ich jetzt mal nix :-(((


Naja, vieleicht fällt euch ja ein fehler auf.
mfg, sibob
Diese Message wurde erstellt mit freundlicher Unterstützung eines Pinguins aus artgerechter Freilandhaltung.

Benutzeravatar
Sibob
Beiträge: 37
Registriert: 28.10.2003 19:39:58
Wohnort: Aachen
Kontaktdaten:

Beitrag von Sibob » 08.08.2005 10:53:33

Hallo. Durch erneutes anpassen meiner pam datei funktioniert nun mein ldap!



Danke euch,
sibob
Diese Message wurde erstellt mit freundlicher Unterstützung eines Pinguins aus artgerechter Freilandhaltung.

kris99
Beiträge: 2
Registriert: 13.08.2005 08:25:36

Beitrag von kris99 » 13.08.2005 08:30:08

Sibob hat geschrieben:Hallo. Durch erneutes anpassen meiner pam datei funktioniert nun mein ldap!
Wäre interessant zu wissen, was Du angepasst hat, falls einer das gleiche Problem hat wie Du.

Kris

Antworten