Re: Impossible de se connecter en local si serveur ldap indisponible

[Guillaume <silencer@free-4ever.net>]

Tony GALMICHE wrote:
> Guillaume a écrit :
>
> > Tony GALMICHE wrote:
> >
> > > Guillaume a écrit :
> > >
> > > > Tony GALMICHE wrote:
> > > >
> > > > > Bonjour à tous,
> > > > >
> > > > > Je viens de mettre en place un serveur openldap sous Debian Sarge 
> > > > > qui doit servir à l'authentification de postes Windows et Linux 
> > > > > (contrôleur de domaine)
> > > > >
> > > > > Quand le serveur ldap est disponible, tout fonctionne correctement.
> > > > >
> > > > > Mais j'aimerais pouvoir me connecter avec un compte local (ex : 
> > > > > root) sur un portable sous Debian Sid quand celui-ci n'est pas 
> > > > > connecté au réseau.
> > > > >
> > > > > Avec ma configuration actuelle, dés que j'ajoute ldap au fichier 
> > > > > "nsswitch.conf" de ma sid et quelque soit la configuration de pam, 
> > > > > je ne peux plus me connecter avec un utilisateur local (même root) 
> > > > > quand le serveur ldap n'est pas accessible.
> > > > >
> > > > > J'ai passé la journée à éplucher des tonnes de documentation et à 
> > > > > faire de nombreux essais avec pam, mais sans succès.
> > > > >
> > > > > Si vous avez une idée pour résoudre mon problème, je suis preneur.
> > > > >
> > > > > Vous trouverez ci-dessous mes fichiers de configurations.
> > > > >
> > > > > Merci d'avance.
> > > > >
> > > > > Tony
> > > > >
> > > > > common-account
> > > > > - account    required     pam_unix.so
> > > > > - account    sufficient   pam_ldap.so
> > > > >
> > > > > common-auth :
> > > > > - auth    required    pam_env.so
> > > > > - auth    sufficient  pam_unix.so
> > > > > - auth    sufficient  pam_ldap.so use_first_pass
> > > > > - auth    required    pam_deny.so
> > > > >
> > > > > common-password :
> > > > > - password   sufficient     pam_unix.so use_authtok md5 shadow
> > > > > - password   sufficient     pam_ldap.so use_authtok
> > > > > - password   required       pam_deny.so
> > > > >
> > > > > common-session :
> > > > > - session    required    pam_limits.so
> > > > > - session    required    pam_unix.so
> > > > > - session    optional    pam_ldap.so
> > > > >
> > > > > login :
> > > > > - @include common-auth
> > > > > - @include common-account
> > > > > - @include common-session
> > > > > - @include common-password
> > > > >
> > > > > nsswitch.conf :
> > > > > - passwd:         compat ldap
> > > > > - group:          compat ldap
> > > > > - shadow:         compat ldap
> > > >
> > > > Pardon... j'avais pas vu.....
> > > > Ca m'apprendra à lire 4 mails en même temps !!! LOL
> > >
> > >
> > > C'est des choses qui arrivent :-)
> > >
> > > > Moi, je mets un "try_first_pass" au lieu de "use_first_pass"....
> > >
> > >
> > > Je viens d'essayer mais sans succès
> > >
> > > > Je rajoute rien dans common-session
> > > > et je mets toujours la ligne "pam_ldap.so" avant celle "pam_unix.so"
> > >
> > >
> > > Ca j'ai déjà essayé et plein d'autres combinaisons aussi.
> > >
> > > En fait dés que je met ldap dans nsswitch.conf et même si je ne met 
> > > pas pam_ldap.so dans pam, je n'arrive plus à me connecter.
> > >
> > > En complément, voici les messages que j'ai dans "/var/log/auth.log" 
> > > dés que le réseau est coupé et que je veux me connecter avec un 
> > > compte local :
> > >
> > > Jul  5 16:44:00 localhost login[7270]: nss_ldap: could not connect to 
> > > any LDAP server as cn=admin,dc=tetras,dc=net - Can't contact LDAP server
> > > Jul  5 16:44:00 localhost login[7270]: nss_ldap: failed to bind to 
> > > LDAP server ldap://192.0.0.3: Can't contact LDAP server
> > > Jul  5 16:44:00 localhost login[7270]: nss_ldap: reconnecting to LDAP 
> > > server (sleeping 32 seconds)...
> > >
> > > Merci pour la réponse.
> > >
> > > Tony
> >
> > Ok, ca marche depuis d'autres machines ???
>
> Oui, avec les postes Windows, je n'ai pas de problème :-)
Les machines windows n'accèdent pas au LDAP....
Elles accèdent à Samba qui lui accède à LDAP

> Mais en poste client sous Linux, je n'ai que mon portable sous Debian Sid.
Ok

> > C'est pas ton daemon slapd qui n'écoute que sur l'interface loopback ??
>
> Ce démon est uniquement sur le serveur, mais c'est avec mon client que 
> j'ai des problèmes.
> -> Sur le client openldap (slapd) n'est pas installé ni même ldap-client.
C'est normal...

Enfin, cela dit moi, je mets les LDAP clients pour des raisons de 
management en général !!

> Mais je confirme que mon client fonctionne correctement quand il est 
> connecté au réseau et qu'il arrive à joindre le serveur ldap.
>
> > tu as mis ton password ldap dans "/etc/ldap.secret" et ce fichier est 
> > bien en droit "600" ???
>
> Ce fichier est également sur le serveur, mais pas sur le client.
La, je te garantis qu'il doit être sur TOUS LES CLIENTS linux....
Sinon, tu auras certaines fonctionnalités qui ne fonctionneront pas sur 
les clients....

D'autres parts, as-tu configuré ton serveur LDAP pour qu'on puisse le 
parcourir en lecture uniquement sans être authentifié ???

> > Essaie d'arrêter le daemon "nscd" aussi.... il  fait des trucs 
> > bizarres parfois lui...
>
> J'ai même essayé de le supprimer (purgé le paquet nscd)
Ok

> > C'est tout ce qui me passe par la tête pour l'instant...
>
> Merci quand même.
>
> Tu me confirmes que tu arrives à te connecter avec un compte local sur 
> un client Linux même si le serveur ldap situé sur un autre poste n'est 
> pas accessible?
Oui, sans aucun soucis....

Enfin, c'est un peu plus long !!

> Tony
A plus
Guillaume


--
Guillaume
E-mail: silencer_<at>_free-4ever_<dot>_net
Blog: http://guillaume.free-4ever.net
---
Sites: http://www.free-4ever.net
       http://wiki.free-4ever.net