Re: LDAP, PAM, pam_ldap.
On Sun, Dec 02, 2001 at 03:54:34PM +0300, Ingvarr Zhmakin wrote:
> Утро доброе.
>
> Очередной геморройчик на ваш суд.
>
> Debian, pam_ldap, конфиги настроены, как сказано.
>
> При попытке залогиниться в юзера, прописанного только в LDAP, скажем,
> через su, имеем:
>
> auth.log:
> =======
> <date,host> su[1192]: pam_ldap: ldap_set_option(LDAP_OPT_X_TLS_REQUIRE_CERT): Unknown error
> <date,host> su[1192]: pam_ldap: _set_ssl_default_options failed
> <date,host> su[1192]: pam_ldap: error trying to bind (Invalid credentials)
Написал же - не смог bind сделать, т.е подключться. Я ssl не делал,
тут не знаю, но вообще думаю, что или с коммуникациями что-то не так,
или не правильно этот самый binddn прописан в pam_ldap.conf (или пароль для него).
В той версии что стоит у меня (potato r4), pam-овский модуль подключается к
серверу с правами чтения поля с паролем и проверяет его.
По-моему еще я видел, когда просто проверялась возможность сделать bind для
соотв. пользователя + некие параметры из конфига. В общем у меня такой
pam_ldap.conf:
# Your LDAP server.
host 127.0.0.1
# The distinguished name of the search base.
base c=BY
# Use the V3 protocol to optimize searches
ldap_version 2
# NOTE: If you use these, be sure to chmod 600 this file
# for security reasons
#
# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
binddn cn=admin, ou=People, o=Center of Information Technology - CIT, c=BY
#
# The credentials to bind with.
# Optional: default is no credential.
bindpw пароль
# Filter to AND with uid=%s
#pam_filter objectclass=account
# The user ID attribute (defaults to uid)
pam_login_attribute uid
# Search the root DSE for the password policy (works
# with Netscape Directory Server)
#pam_lookup_policy yes
# Group to enforce membership of
#pam_groupdn cn=PAM,ou=Groups,dc=example,dc=net
# Group member attribute
#pam_member_attribute uniquemember
# Hash password locally; required for University of
# Michigan LDAP server, and works with Netscape
# Directory Server if you're using the UNIX-Crypt
# hash mechanism and not using the NT Synchronization
# service.
pam_crypt local
--
Best regards,
Sergey Chumakov 2:450/77[.43]
Reply to: