Re: PAM an LDAP anbinden: "Authentication service cannot retrieve authentication info."
Fabian Holler schrieb:
Hallo,
Servus
ich habe unter Debian Sarge ein LDAP Server aufgesetzt und einen User
"carsten" angelegt.
Ich habe nsswitch und das pam Modul für ldap konfiguriert.
nsswitch findet den user:
sparctacus:~# getent passwd| grep carsten
carsten:x:1000:100:Carsten:/home/carsten:/bin/bash
das ist auch OK so
Wenn ich mich einloggen will, mit dem user carsten mit z.B. su oder über
ssh erhalte ich die Fehlermeldung:
"Authentication service cannot retrieve authentication info."
su carsten als root funktioniert.
Wo könnte mein Fehler liege, ich hab keine Idee mehr :)
[...]
Noch 'n paar infos :
cat /etc/pam_ldap.conf
host 127.0.0.1
base dc=sparctacus,dc=ldap,dc=it
ldap_version 3
rootbinddn cn=admin,dc=sparctacus,dc=ldap,dc=it
in meiner verwende ich kein rootbinddn - nur so am rande...
sollte es nämlich auch nicht benötigen, wenn man die ACL's
des slapd halbwegs korrekt erstellt hat.
Meine pam_ldap.conf schaut so aus:
host 192.168.1.2
base dc=flammiger,dc=org
ldap_version 3
scope sub
pam_login_attribute uid
pam_password crypt
nss_base_passwd ou=people,dc=flammiger,dc=org?one
nss_base_shadow ou=people,dc=flammiger,dc=org?one
nss_base_group ou=group,dc=flammiger,dc=org?one
---
grep ldap /etc/pam.d/*
/etc/pam.d/login:auth sufficient pam_ldap.so use_first_pass
/etc/pam.d/login:account sufficient pam_ldap.so
/etc/pam.d/login:password sufficient pam_ldap.so
die PAM-Konfiguration für login habe ich nicht angefasst.
Ich habe common-auth stattdessen für LDAP verwendet - ich
denke, PAM unter Ubuntu und orig. Debian wird sich nicht
großartug unterscheiden:
auth sufficient pam_unix.so nullok_secure
auth sufficient pam_ldap.so try_first_pass
account sufficient pam_ldap.so
password sufficient pam_ldap.so
sparctacus:~# ldapsearch -x uid=carsten -D
"cn=admin,dc=sparctacus,dc=ldap,dc=it" -W
Enter LDAP Password:
[...]
Ergebnis meines Erachtens nach OK
Das Ganze hat natürlich einen Haken:
Da ich Ubuntu als Client verwende (Server läuft unter Sarge),
habe ich natürlich ein großes Problem mit sudo: das läuft
nämlich so nicht mehr - ein "su -" geht jedoch.
Wie ich sudo mit LDAP als Backend verheirate, hab ich noch nicht
wirklich in Angriff genommen :-)
Desweiteren ist damit noch nicht gewährleistet, das die Benutzer
ihr Passwort ändern können. Das muss man imho unter /etc/pam.d/passwd
einstellen? Ich hatte das schonmal am laufen aber net unter Debian..
hth
Torsten
Reply to: