Re: LDAP, PAM, pam_ldap.

To: Debian Russian <debian-russian@lists.debian.org>
Subject: Re: LDAP, PAM, pam_ldap.
From: Sergey Chumakov <yas@cit.org.by>
Date: Mon, 3 Dec 2001 08:44:22 +0200
Message-id: <[🔎] 20011203084422.A29346@cit.org.by>
Mail-followup-to: Debian Russian <debian-russian@lists.debian.org>
In-reply-to: <[🔎] 20011202155434.A11173@haunt>; from ingvarr@mail.ru on Sun, Dec 02, 2001 at 03:54:34PM +0300
References: <[🔎] 20011202155434.A11173@haunt>

On Sun, Dec 02, 2001 at 03:54:34PM +0300, Ingvarr Zhmakin wrote:
> Утро доброе.
> 
> Очередной геморройчик на ваш суд.
> 
> Debian, pam_ldap, конфиги настроены, как сказано.
> 
> При попытке залогиниться в юзера, прописанного только в LDAP, скажем,
> через su, имеем:
> 
> auth.log:
> =======
> <date,host> su[1192]: pam_ldap: ldap_set_option(LDAP_OPT_X_TLS_REQUIRE_CERT): Unknown error
> <date,host> su[1192]: pam_ldap: _set_ssl_default_options failed
> <date,host> su[1192]: pam_ldap: error trying to bind (Invalid credentials)
Написал же - не смог bind сделать, т.е подключться. Я ssl не делал,
тут не знаю, но вообще думаю, что или с коммуникациями что-то не так,
или не правильно этот самый binddn прописан в pam_ldap.conf (или пароль для него).
В той версии что стоит у меня (potato r4), pam-овский модуль подключается к
серверу с правами чтения поля с паролем и проверяет его.
По-моему еще я видел, когда просто проверялась возможность сделать bind для
соотв. пользователя + некие параметры из конфига. В общем у меня такой
pam_ldap.conf:


# Your LDAP server.
host 127.0.0.1

# The distinguished name of the search base.
base c=BY

# Use the V3 protocol to optimize searches
ldap_version 2

# NOTE: If you use these, be sure to chmod 600 this file
# for security reasons
#
# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
binddn cn=admin, ou=People, o=Center of Information Technology - CIT, c=BY

#
# The credentials to bind with.
# Optional: default is no credential.
bindpw пароль

# Filter to AND with uid=%s
#pam_filter objectclass=account

# The user ID attribute (defaults to uid)
pam_login_attribute uid

# Search the root DSE for the password policy (works
# with Netscape Directory Server)
#pam_lookup_policy yes

# Group to enforce membership of
#pam_groupdn cn=PAM,ou=Groups,dc=example,dc=net

# Group member attribute
#pam_member_attribute uniquemember

# Hash password locally; required for University of
# Michigan LDAP server, and works with Netscape
# Directory Server if you're using the UNIX-Crypt
# hash mechanism and not using the NT Synchronization
# service.
pam_crypt local


-- 
Best regards,
Sergey Chumakov 2:450/77[.43]

Reply to:

References:
- LDAP, PAM, pam_ldap.
  - From: Ingvarr Zhmakin <ingvarr@mail.ru>

Prev by Date: Re: Console (Text Based) widget set for Tcl
Next by Date: Postfix из potato и антивирусы через avcheck
Previous by thread: LDAP, PAM, pam_ldap.
Next by thread: iptables, NAT, shit
Index(es):
- Date
- Thread