[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Probleme mit LDAP-Authentifizierung



Am Dienstag, 20. Juni 2006 15:07 schrieb Thomas Guenther:
> Hallo,
>
> ich habe hier einen Linux-Server mit Samba und Openldap als PDC
> laufen. Installiert ist das ganze auf einem woody, wobei samba
> und openldap (v2.2.19) selbstkompiliert sind. Das ganze läuft
> ohne Problem.
>
> Wenn ich jetzt versuche, von einem Sarge-System aus eine
> Authentifizierung per Konsolenlogin, ssh oder su zu machen,
> schlägt das ganze fehl. Das Problem dabei ist offensichtlich
> irgendwas mit dem Passwort. Wenn ich auf dem Sarge-System ein
> lokaler User bin, z.B. user1 und ein su benutze, um user2 zu
> werden, der nur auf dem LDAP-System existiert, wird nach einem
> Passwort gefragt. Dann bekomme ich nach einer kurzen Pause ein:
> "su: Authentication service cannot retrieve authentication info."
> Bin ich auf dem Sarge-System root und wechsle nach user2, geht
> das sofort und ohne Probleme. Und auch ein Netzwerksniffen brachte

wohl, weil du die rootbinddn in der ldap.conf gesetzt hast + 
ldap.secret.

> mich soweit, dass die Benutzerinformationen abgefragt und auch
> geliefert werden, aber irgendwas mit dem Passwort haut nicht hin,
> vermute ich.
>
> Die PAM's (su, ssh, login) sind eigentlich soweit für ldap angepasst,
> auch die nsswitch.conf, die libnss-ldap.conf und die pam_ldap.conf.
> Im Prinzip habe ich die Dateien vom LDAP-System kopiert.
>
> Hat einer eine Idee, woran es liegen könnte, das die Authentifizerung
> gegen das LDAP-System fehlschlägt? Habe ich vielleicht irgendetwas
> übersehen?

Wie sehen die üblichen verdächtigen denn aus?
/etc/ldap/ldap.conf 
/etc/libnss-ldap.conf
/etc/pam.d/common-auth (oder wo auch immer du ldap eingetragen hast)

In jedem Fall den slapd auf LogLevel 256 setzen und anschauen was da 
genau ankommt. Damit siehst du jedes Query auf die Ldap Datenbank.

ldapsearch mit -D <user dsn> auch probieren. Bekommst du damit dein 
Passwort zu gesicht? Liefert getent korrekte Informationen?

Wir brauchen in jedem Fall mehr Informationen, sonst stochern wir hier 
nur hilflos im Dunkeln 'rum. Insbesondere am slapd Log sieht man 
eigentlich recht schnell woran es hakt, auch wenn dort recht viel 
geloggt wird und das ganze anfangs etwas unübersichtlich wirkt.


-- 
Markus Schulz

"Des is völlig wurscht, was heut beschlossen wird: I bin sowieso 
dagegn!" (SPD-Stadtrat Kurt Schindler; Regensburg) 



Reply to: