[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Debian Active Directory Authentifizierung über LDAP

Hallo,

hat jemand eine funktionsfähige LDAP-Abindung an Microsofts Active
Directory mit Debian. Ich habe im Moment das Problem, das ich weder
mit Woody noch mit Sarge einen Login über LDAP vollziehen kann.
Grundlegend wäre mir zunächst wichtig zu wissen, ob es mit den Debian
Hauseigenen-Paketen (libpam-ldap/libnss-ldap) überhaupt möglich ist,
oder ob per Hand nachgebessert werden muss?

Laut den Paketen sollten die notwendigsten Argumente
(enable-rfc2307bis und --enable-schema-mapping) mit kompiliert sein.
Wenn jemand genauere Hinweise geben kann wäre ich dankbar. Im Anhang
habe ich das Problem noch mal genauer beschrieben.
Ich habe schon diverse Fachleute hinzugezogen bisher ohne Erfolg, nun
bin ich am verzweifeln.

Gruss

Mirko


Detailierte Beschreibung:

Auf der Windowsseite habe ich einen Win2003 DC mit den SFU 3.5 stehen.
Auf der Debianseite habe ich die Pakete libpam-ldap u. libnss-ldap
installiert.
In der ldap.conf habe ich einen User mit binddn/bindpw angegeben der
sich an die 2003-Domäne binden darf. Aus Sicherheit habe ich alle
möglichen Konfig-Dateien verlinkt (/etc/libnss-ldap.conf,
/etc/pam_ldap.conf, /etc/ldap/ldap.conf, /etc/ldap.conf).
Die /etc/nsswitch.conf sieht folgendermaßen aus:
passwd    files ldap
group     files ldap
shadow    files ldap.
Die /etc/pam.d/login sieht folgendermaßen aus:
auth        required      pam_nologin.so
auth        sufficient    pam_ldap.so
auth        sufficient    pam_unix.so use_first_pass
account     sufficient    pam_ldap.so
account     required      pam_unix.so
session     sufficient    pam_ldap.so
session     required      pam_unix.so
password    sufficient    pam_ldap.so
password    sufficient    pam_unix.so

Per ldapsearch kann ich alle Attribute auslesen, der Binduser
funktioniert also.
Eine andere auf Suse 9.2 basierende Kiste funktioniert auch super,
also sollte auf der Windowsseite alles korrekt konfiguriert sein.
Ich habe den Login mal mit 'nem Netzwerkmonitor überwacht. Der einzige
Unterschied gegenüber Suse ist, das Debian nicht nach den Attributen
der User auf der 2003 Kiste fragt und dann abbricht. Ein zuvor
gelaufener Bind mit dem Binduser funktioniert aber. Da Debian nicht
nach den Attributen des Users sucht, kann sicher auch keine
Übereinstimmung gefunden (imho).

Könnte dies also vielleicht doch an den Debian-Modulen
(pam_ldap.so,...) liegen?

Über eine Bestätigung der Funktionsfähigkeit wäre ich zunächst
dankbar, weitere Tips die zur Ergreifung des Fehlers führen, wären
hilfreich.
Reply to: