Re: Probleme mit LDAP-Authentifizierung

To: debian-user-german@lists.debian.org
Subject: Re: Probleme mit LDAP-Authentifizierung
From: Thomas Guenther <thomas.guenther@uni-duisburg.de>
Date: Wed, 21 Jun 2006 08:50:59 +0200
Message-id: <[🔎] 4498EC53.7060209@uni-duisburg.de>
In-reply-to: <[🔎] 200606202014.06538.msc@antzsystem.de>
References: <[🔎] 4497F30C.9070005@uni-duisburg.de> <[🔎] 200606202014.06538.msc@antzsystem.de>

Markus Schulz schrieb:

Am Dienstag, 20. Juni 2006 15:07 schrieb Thomas Guenther:

Hallo,

[...]

Bin ich auf dem Sarge-System root und wechsle nach user2, geht
das sofort und ohne Probleme. Und auch ein Netzwerksniffen brachte
wohl, weil du die rootbinddn in der ldap.conf gesetzt hast +ldap.secret.


Ja, exakt.

[...]

Wie sehen die üblichen verdächtigen denn aus?

/etc/ldap/ldap.conf


------------------ldap.conf-------------------
host <ldap-system ip>
base <dc=x,dc=y,dc=de>

ldap_version 3
binddn cn=nssldap,ou=dsa,dc=x,dc=y,dc=de
bindpw <pwd f. nssldap>

nss_base_passwd dc=x,dc=y,dc=de?sub
nss_base_shadow dc=x,dc=y,dc=de?sub
nss_base_group  dc=x,dc=y,dc=de?one

ssl no
pam_password crypt
----------------------------------------------

/etc/libnss-ldap.conf


---------------libnss-ldap.conf---------------
host <ldap-system ip>
uri ldap://iit005.uni-duisburg.de/
base <dc=x,dc=y,dc=de>

ldap_version 3

binddn cn=nssldap,ou=dsa,dc=x,dc=y,dc=de
bindpw <pwd f. nssldap>

nss_base_passwd dc=x,dc=y,dc=de?sub
nss_base_shadow dc=x,dc=y,dc=de?sub
nss_base_group  ou=Groups,dc=x,dc=y,dc=de?one

pam_filter objectclass=posixAccount

use_sasl off
----------------------------------------------


---------------------pam_ldap.conf---------------------
host <ldap-system ip>
base <dc=x,dc=y,dc=de>

ldap_version 3

rootbinddn cn=nssldap,ou=dsa,dc=x,dc=y,dc=de

scope sub
scope one
scope base

pam_filter objectclass=posixAccount

pam_password crypt
-------------------------------------------------------

---------------------nsswitch.conf---------------------
passwd:         files ldap
group:          files ldap
shadow:         files ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

#netgroup:       nis
-------------------------------------------------------

/etc/pam.d/common-auth (oder wo auch immer du ldap eingetragen hast)


-------------------common-auth-------------------
auth sufficient       pam_ldap.so
auth required         pam_unix.so try_first_pass
-------------------------------------------------

-------------------common-account-------------------
account sufficient       pam_ldap.so
account required         pam_unix.so
----------------------------------------------------

-------------------common-password------------------
password sufficient       pam_ldap.so
password required         pam_unix.so
----------------------------------------------------

In jedem Fall den slapd auf LogLevel 256 setzen und anschauen was dagenau ankommt. Damit siehst du jedes Query auf die Ldap Datenbank.


Ist schon. Hier mal der Teil mit der Anmeldung vom CLIENT bis zum
Zeitpunkt, als das Passwort für den User eingegeben wurde und eine
erneute Passworteingabe erwartet wurde:

Jun 20 10:02:44 iit005 slapd[7759]: conn=24810 fd=38 ACCEPT fromIP=<client ip>:32915 (IP=0.0.0.0:389)Jun 20 10:02:44 iit005 slapd[7778]: conn=24810 op=0 BINDdn="cn=nssldap,ou=dsa,dc=x,dc=y,dc=de" method=128Jun 20 10:02:44 iit005 slapd[7778]: conn=24810 op=0 BINDdn="cn=nssldap,ou=dsa,dc=x,dc=y,dc=de" mech=SIMPLE ssf=0Jun 20 10:02:44 iit005 slapd[7778]: conn=24810 op=0 RESULT tag=97 err=0text=Jun 20 10:02:44 iit005 slapd[7762]: conn=24810 op=1 SRCHbase="dc=x,dc=y,dc=de" scope=2 deref=0filter="(&(objectClass=posixAccount)(\

uid=user1))"

Jun 20 10:02:44 iit005 slapd[7762]: conn=24810 op=1 SEARCH RESULTtag=101 err=0 nentries=1 text=Jun 20 10:02:44 iit005 slapd[7761]: conn=24810 op=2 SRCHbase="ou=Groups,dc=x,dc=y,dc=de" scope=1 deref=0filter="(&(objectClass=posi\

xGroup)(|(memberUid=user1)(uniqueMember=uid=user1,ou=users,dc=x,dc=y,dc=de)))"
Jun 20 10:02:44 iit005 slapd[7761]: conn=24810 op=2 SRCH attr=gidNumber

Jun 20 10:02:44 iit005 slapd[7761]: <= bdb_equality_candidates:(uniqueMember) index_param failed (18)Jun 20 10:02:44 iit005 slapd[7761]: conn=24810 op=2 SEARCH RESULTtag=101 err=0 nentries=1 text=Jun 20 10:02:44 iit005 slapd[21337]: conn=24810 op=3 SRCHbase="ou=Groups,dc=x,dc=y,dc=de" scope=1 deref=0 filter="(&(objectClass=pos\

ixGroup)(uniqueMember=cn=group1,ou=groups,dc=x,dc=y,dc=de))"
Jun 20 10:02:44 iit005 slapd[21337]: conn=24810 op=3 SRCH attr=gidNumber

Jun 20 10:02:44 iit005 slapd[21337]: <= bdb_equality_candidates:(uniqueMember) index_param failed (18)Jun 20 10:02:44 iit005 slapd[21337]: conn=24810 op=3 SEARCH RESULTtag=101 err=0 nentries=0 text=Jun 20 10:02:44 iit005 slapd[7759]: conn=24811 fd=42 ACCEPT fromIP=<client ip>:32916 (IP=0.0.0.0:389)Jun 20 10:02:44 iit005 slapd[7778]: conn=24811 op=0 BINDdn="cn=nssldap,ou=dsa,dc=x,dc=y,dc=de" method=128Jun 20 10:02:44 iit005 slapd[7778]: conn=24811 op=0 BINDdn="cn=nssldap,ou=dsa,dc=x,dc=y,dc=de" mech=SIMPLE ssf=0Jun 20 10:02:44 iit005 slapd[7778]: conn=24811 op=0 RESULT tag=97 err=0text=Jun 20 10:02:44 iit005 slapd[7762]: conn=24811 op=1 SRCHbase="dc=x,dc=y,dc=de" scope=0 deref=0 filter="(uid=user1)"Jun 20 10:02:44 iit005 slapd[7762]: conn=24811 op=1 SEARCH RESULTtag=101 err=0 nentries=0 text=


(hier wartet das System auf das Passwort, der folgende Abschnitt
zeigt die Reaktion nach der Passworteingabe)

Jun 20 10:03:16 iit005 slapd[21337]: conn=24812 op=4 SRCHbase="dc=x,dc=y,dc=de" scope=2 deref=0 filter="(&(objectClass=shadowAccount\

)(uid=user1))"

Jun 20 10:03:16 iit005 slapd[21337]: conn=24812 op=4 SRCH attr=uiduserPassword shadowLastChange shadowMax shadowMin shadowWarning sh\

adowInactive shadowExpire shadowFlag

Jun 20 10:03:16 iit005 slapd[21337]: conn=24812 op=4 SEARCH RESULTtag=101 err=0 nentries=1 text=Jun 20 10:03:17 iit005 slapd[7778]: conn=24813 op=2 BIND anonymousmech=implicit ssf=0Jun 20 10:03:17 iit005 slapd[7778]: conn=24813 op=2 BINDdn="cn=nssldap,ou=dsa,dc=x,dc=y,dc=de" method=128Jun 20 10:03:17 iit005 slapd[7778]: conn=24813 op=2 BINDdn="cn=nssldap,ou=dsa,dc=x,dc=y,dc=de" mech=SIMPLE ssf=0Jun 20 10:03:17 iit005 slapd[7778]: conn=24813 op=2 RESULT tag=97 err=0text=Jun 20 10:03:17 iit005 slapd[7762]: conn=24813 op=3 SRCHbase="dc=x,dc=y,dc=de" scope=0 deref=0 filter="(uid=user1)"Jun 20 10:03:17 iit005 slapd[7762]: conn=24813 op=3 SEARCH RESULTtag=101 err=0 nentries=0 text=

ldapsearch mit -D <user dsn> auch probieren. Bekommst du damit deinPasswort zu gesicht? Liefert getent korrekte Informationen?


ldapsearch mit nssldap geht, Passwörter werden verschlüsselt angezeigt.
Getent liefert korrekte Einträge.

Wir brauchen in jedem Fall mehr Informationen, sonst stochern wir hiernur hilflos im Dunkeln 'rum. Insbesondere am slapd Log sieht maneigentlich recht schnell woran es hakt, auch wenn dort recht vielgeloggt wird und das ganze anfangs etwas unübersichtlich wirkt.


Danke schonmal!


Thomas

Reply to:

Follow-Ups:
- Re: Probleme mit LDAP-Authentifizierung
  - From: Markus Schulz <msc@antzsystem.de>

References:
- Probleme mit LDAP-Authentifizierung
  - From: Thomas Guenther <Thomas.Guenther@uni-duisburg.de>
- Re: Probleme mit LDAP-Authentifizierung
  - From: Markus Schulz <msc@antzsystem.de>

Prev by Date: Re: Neues Problem mit RegExp (was Re: suche regexp)
Next by Date: Re: Drucker geht nicht mehr
Previous by thread: Re: Probleme mit LDAP-Authentifizierung
Next by thread: Re: Probleme mit LDAP-Authentifizierung
Index(es):
- Date
- Thread