[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: LDAP / passwd



> Hi Jerome,
>
> danke für die Antwort ;)
>
> jerome_reinert@pc-kurios.de wrote:
> > Ich kenne dieses Problem zwar nicht, jedoch scheint es so, als ob in
der
> > /etc/pam.d/passwd was nicht stimmt.  Hier mal meine
> > -----------
> > auth       sufficient   /lib/security/pam_ldap.so
> > auth       required     /lib/security/pam_unix_auth.so use_first_pass
> > account    sufficient   /lib/security/pam_ldap.so
> > account    required     /lib/security/pam_unix_acct.so
> > password   required     /lib/security/pam_cracklib.so retry=3
> > password   sufficient   /lib/security/pam_ldap.so
> > password   required     /lib/security/pam_pwdb.so try_first_pass
> > ----------
>
> Ich habe mal Deine Config ausprobiert, brachte aber nichts. Im
> Gegenteil...
>
> root@kilobyte:/etc/pam.d# passwd devel023
> Enter login(LDAP) password:
> New UNIX password:
> Retype new UNIX password:
> New password:
> Re-enter new password:
> LDAP password information update failed: Unknown error
> use bind to verify old password
> passwd: Permission denied
>
> > Wenn ich auf diese gleiche Art das Passwort ändere bekomme ich auch
einen
> >
> > Fehler angezeigt, jedoch mit dem Unterschied, dass ich es ändern
konnte.
>
> Kannste meine pam-Config mal testen? Von der weiß ich dass sie
> grundsätzlich funktioniert:
>
> password required /lib/security/pam_cracklib.so retry=3 minlen=6
difok=3
> password sufficient /lib/security/pam_ldap.so use_first_pass
use_authtok
> password sufficient /lib/security/pam_unix.so use_first_pass use_authtok

> obscure md5 shadow
> password required /lib/security/pam_deny.so
>
> > LDAP password information changed for Jerome
> > passwd: Authentication token manipulation error
> >
> > Im übrigen ist die passwd bzw.chpasswd Version gegenüber zu SuSE 9.1
(der
> > bei mir ebenfalls als ldapclient eingerichtet ist) funktional enorm
> > beschnitten. bei SuSE funktioniert zb. ein
> >   #passwd -D "cn=admin,dc=deinebase" Jerome
> > oder noch komfortabler
> >   #echo "Jerome:neuespasswort" | chpasswd -D "cn=admin,dc=deinebase"
> > ---danach musst Du nur noch dein admin passwort eingeben
>
> Na ja, ldappasswd würde ja auch gehen. Aber ich "passwd username" wäre
> mir lieber (zumal es schonmal lief).
>
> --
> Mit freundlichen Gruessen
> Bjoern Schmidt
Hallo Björn

Hattest Du das jetzt hinbekommen ?
Deine /etc/pam.d/passwd hat bei mir tatellos funktioniert.
Meine eingesetzte libpam_ldap version auf dem client ist die 1.69-1.
Hast Du mal dein TLS (ich denke mal das du verschlüsselst arbeitest)
abgeschaltet, und mit etherreal die Pakete analysiert ?
Vielleicht ist das ein server problem?
Ich hatte mir mal mit dem passwd kommando meine datenbank (bdb) zerhauen.
Da habe ich just auf diesem ldaplient (sarge) mit useradd einen benutzer
"jerome" anlgelegt (local, mit eigenem Homeverzeichnis). Ein Benutzer
"Jerome" (mit großem J) existierte zu diesem Zeitpunkt auch in der
Ldapdatenbank. Bis dahin war alles normal, jedoch ein "passwd jerome"
ausgeführt auf dem client brachte die Serverlast auf 100%. Ein neustart
des ldapservers (reboot der maschine) brachte auch keine Abhilfe (kurz
danach wieder 100%), "top" hatte ja immer noch den slapd als verursacher
ausgemacht.
Das Neueinspielen meiner Sicherung half letztendlich.
Ich habe dann nach einigen googlen mit "dpkg-reconfigure slapd" die
datenbank auf ldbm umgestellt. Soll performanter und fehlerunanfälliger
sein. Jedoch hat sich diese Meinung nur auf Erfahrungen gestützt.


Jerome



Reply to: