[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

LDAP Client mit TLS Probleme

Hallo liebe Liste,
ich habe hier ein Problem unter Debian Sarge LDAP als Client
einzurichten... Ich habe einen MacOSX 10.4 Server laufen, der
ueber ein OpenDirectory mittels LDAP Nutzerdaten zur Anmelden
zur Verfuegung stellt (SSL ist aktiviert). Nun sollen sich einige
Linux-Maschienen ihre Login-Accounts von diesem Rechner holen.
Von einem Rechner mit SUSE10 geht das auch (in YAST2 LDAP-Client
Modul konfigurieren), aber mit Debian-Rechern geht das irgendwie
schief.
Auf dem Debian-System sind erst mal lippam-ldap und libnss-ldap
installiert und mit IP und search base des Servers konfiguriert.
In der libnss-ldap.conf ist zusaetzlich ssl start_tls eingetragen.
Ebenso in der pam_ldap.conf.

/etc/pam_ldap.conf
host xxx.xxx.xxx.xxx
base dc=mein,dc=server
ldap_version 3
pam_password crypt
ssl start_tls

/etc/libnss_ldap.conf
host xxx.xxx.xxx.xxx
base dc=mein,dc=server
ldap_version 3
pam_password crypt
ssl start_tls

Zusaetzlich habe ich in der /etc/ldap/ldap.conf eingetragen:
TLS_REQCERT allow
host xxx.xxx.xxx.xxx
base dc=mein,dc=server

Soweit so gut. Jetzt mueste theoretisch ein
getenv passwd ein-ldap-user
irgendwas anzeigen, wenn ich richtig liege (?). Tut es aber
nicht. Dagegen kann ich  ldapsearch  machen und bekomme nach
Eingabe des Passworts eine komplette Liste mit allen Usern des
LDAP-Servers!! Warum geht getent nicht? Ich bin da echt ratlos.
Die weiteren Schritte mit anpassen der Sachen in /etc/pam.d
und der /etc/nsswitch habe ich erst mal weggelassen, da ich
mich dann immer aus dem System aussperre...

Einfach Sachen von der SUSE uebernehmen geht nicht, da dort
anscheinend keine libnss-ldap.conf und pam_ldap.conf genutzt
werden, stattdessen gibt es dort zwei ldap.conf:

/etc/openldap/ldap.conf
TLS_REQCERT allow
host xxx.xxx.xxx.xxx
base dc=mein,dc=server

/etc/ldap.conf
host xxx.xxx.xxx.xxx
base dc=mein,dc=server
ldap_version 3
pam_password crypt
ssl start_tls
nss_map_atttribute uniqueMember member
pam_filter objectclass=posixAccount
nss_base_passwd cn=users,dc=mein,dc=server
nss_base_shadow cn=passwordserver,cn=config,dc=mein,dc=server
nss_base_group  cn=groups,dc=mein,dc=server

Damit geht es auf dem SUSE10 System, aber wie gesagt, die Dateien
legt YAST an, ich musste nur die IP und die search base angeben und
SSL/TLS nutzem anklicken. Das war's.
Kann miR jemand sagen, wo ich bei Debian einen Fehler mache??
Jeder Tip willkommen, Danke!


Derk
Reply to: