Re: Debian Active Directory Authentifizierung über LDAP
Am Dienstag 08 Februar 2005 18:34 schrieb Mirko Lemke:
> Kurze zwischen Frage: Wo hast du eigentlich die
> Version 266 her?
Hab ich 266 geschrieben? Dann hab ich mich vertan, ich meinte 226. Das ist
die momentan als stable erachtete bei Gentoo.
> Habe dann noch mal alles neukompiliert auch mit der
> von die genannten Option, zu dem auch noch das pam_ldap Modul
> neukompiliert. Leider habe ich immer noch das selbe Problem.
> In der /var/log/auth.log erhalte ich folgendes Statement:
>
> PAM_unix[xxx]: check pass; user unknown
> 192.168.1.50 PAM_unix[218]: authentication failure; (uid=0)
> **unknown** for login service 192.168.1.50 login[218]:
> FAILED LOGIN (1) on `tty1' FOR `username', Authentication service
> cannot retrieve authentication info
>
> Nach der genannten Meldung könnte man meinen das es vielleicht ein
> Konfigurationsproblem mit den PAM-Dateien sein könnte, aber er fragt ja
> definitv die AD-Domäne (mit Monitor protokolliert) ab. Aber niemand ist
> natürlich vor Fehlern gefeilt.
Ich würde zuerst testen, ob nss_ldap funktioniert. Z.B. mit getent passwd
und/oder getent group. Wenn dann die User aus dem AD nicht aufgelistet
werden, kann auch pam_ldap nicht funktionieren. Behaupte ich jetzt
einfach mal so. :) (man könnte ja noch Spezialfälle konstruieren, aber
die zählen nicht)
> Hast du's auch schon mal Debian getestet?
Ja, ich hab beide Distributionen ausprobiert.
Mittlerweile hab ich auch mal die 220 bei Gentoo ausprobiert und es
funktionierte nicht. Ebenso hab ich (wie auf der bug Seite angeregt) das
sarge Paket mit der Option rekompiliert. Funktioniert auch nicht. Es
bestärkt mich also in der Annahme, daß es an der 220 liegt.
Übrigens, ich bin mit den ganzen nss_ldap/pam_ldap Optionen noch nicht so
ganz durchgestiegen. Ich wüßte zugern, was das absolute Minimum ist, um
das Verhalten eines Linuxsystems komplett abzubilden. Stichwort
Gruppenzugehörigkeit (pam_member_attribute) oder Shadow-Funktionen ...
Außerdem ist mir aufgefallen, daß es mit ssh z.B. drauf ankommt, was in
der sshd_config steht. Ich hab einfach telnet genommen zum testen.
Gruß
Timo
Reply to: