Re: PAM an LDAP anbinden: "Authentication service cannot retrieve authentication info."

[Torsten Flammiger <torsten@flammiger.org>]

Fabian Holler schrieb:
> Hallo,

Servus

> ich habe unter Debian Sarge ein LDAP Server aufgesetzt und einen User 
> "carsten" angelegt.
>
> Ich habe nsswitch und das pam Modul für ldap konfiguriert.
> nsswitch findet den user:
>
> sparctacus:~# getent passwd| grep carsten
> carsten:x:1000:100:Carsten:/home/carsten:/bin/bash

das ist auch OK so

> Wenn ich mich einloggen will, mit dem user carsten mit z.B. su oder über 
> ssh erhalte ich die Fehlermeldung:
> "Authentication service cannot retrieve authentication info."
>
> su carsten als root funktioniert.
>
> Wo könnte mein Fehler liege, ich hab keine Idee mehr :)

[...]

> Noch 'n paar infos :
>
>
> cat /etc/pam_ldap.conf
> host 127.0.0.1
> base dc=sparctacus,dc=ldap,dc=it
> ldap_version 3
> rootbinddn cn=admin,dc=sparctacus,dc=ldap,dc=it

in meiner verwende ich kein rootbinddn - nur so am rande...
sollte es nämlich auch nicht benötigen, wenn man die ACL's
des slapd halbwegs korrekt erstellt hat.

Meine pam_ldap.conf schaut so aus:

host 192.168.1.2
base dc=flammiger,dc=org
ldap_version 3
scope sub
pam_login_attribute uid
pam_password crypt
nss_base_passwd    ou=people,dc=flammiger,dc=org?one
nss_base_shadow    ou=people,dc=flammiger,dc=org?one
nss_base_group     ou=group,dc=flammiger,dc=org?one

> ---
> grep ldap /etc/pam.d/*
> /etc/pam.d/login:auth sufficient pam_ldap.so use_first_pass
> /etc/pam.d/login:account sufficient pam_ldap.so
> /etc/pam.d/login:password sufficient pam_ldap.so

die PAM-Konfiguration für login habe ich nicht angefasst.
Ich habe common-auth stattdessen für LDAP verwendet - ich
denke, PAM unter Ubuntu und orig. Debian wird sich nicht
großartug unterscheiden:

auth     sufficient      pam_unix.so nullok_secure
auth     sufficient      pam_ldap.so try_first_pass
account  sufficient      pam_ldap.so
password sufficient      pam_ldap.so

> sparctacus:~# ldapsearch -x uid=carsten -D
> "cn=admin,dc=sparctacus,dc=ldap,dc=it" -W
> Enter LDAP Password:

[...]

Ergebnis meines Erachtens nach OK

Das Ganze hat natürlich einen Haken:
Da ich Ubuntu als Client verwende (Server läuft unter Sarge),
habe ich natürlich ein großes Problem mit sudo: das läuft
nämlich so nicht mehr - ein "su -" geht jedoch.
Wie ich sudo mit LDAP als Backend verheirate, hab ich noch nicht
wirklich in Angriff genommen :-)

Desweiteren ist damit noch nicht gewährleistet, das die Benutzer
ihr Passwort ändern können. Das muss man imho unter /etc/pam.d/passwd
einstellen? Ich hatte das schonmal am laufen aber net unter Debian..

hth
Torsten