Re: pam_ldap debugging

To: Debian User Deutsch <debian-user-german@lists.debian.org>
Subject: Re: pam_ldap debugging
From: Andreas Tille <tillea@rki.de>
Date: Fri, 20 Jun 2008 09:39:13 +0200 (CEST)
Message-id: <[🔎] alpine.DEB.1.10.0806200924200.22275@wr-linux02>
In-reply-to: <[🔎] 20080620071413.GG5304@schlittermann.de>
References: <[🔎] alpine.DEB.1.10.0806191117090.3866@wr-linux02> <[🔎] 20080619142452.GS15528@schlittermann.de> <[🔎] alpine.DEB.1.10.0806200742410.22275@wr-linux02> <[🔎] 20080620071413.GG5304@schlittermann.de>

On Fri, 20 Jun 2008, Heiko Schlittermann wrote:

... auch wenn ich noch nicht ganz am Ziel bin.  Was habe ich mir unter
"Invalid credentials (49)" vorzustellen?


Passwort passt nicht zum Nutzer.


Hmmm, da muß ich mich noch mal reinvertiefen.  Mein Anmeldepasswort ist
definitiv richtig - möglicherweise ist der Nutzer nicht korrekt spezifiziert ...

Wie kann ich nun erstmal dafür sorgen, daß pam_ldap die Verschlüsselung,
die in ldapwhoami per -Z Option angegeben wird, benutzt?


Ich denke, das geht in pam_ldap.conf irgendwo. Mal nach TLS suchen.


/etc/pam_ldap.conf:
  # OpenLDAP SSL mechanism
  # start_tls mechanism uses the normal LDAP port, LDAPS typically 636
  ssl start_tls
  ssl on

Die letzten beiden Zeilen waren vorher auskommentiert - nun sehen sie wie
oben aus.  Das führt zu

  pam_ldap: ldap_result Can't contact LDAP server
  pam_ldap: reconnecting to LDAP server...
  pam_ldap: ldap_result Can't contact LDAP server

Ich habe noch mal weiter gespielt:

  # OpenLDAP SSL options
  # Require and verify server certificate (yes/no)
  # Default is to use libldap's default behavior, which can be configured in
  # /etc/openldap/ldap.conf using the TLS_REQCERT setting.  The default for
  # OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes".
  #tls_checkpeer yes
  tls_checkpeer no

und die Zertifikatprüfung abgestellt - das ändert nichts an den Ausschriften
im logfile.  Es gibt noch einige weitere Einstellungen, die TLS beeinflussen.
Hat jemand eventuell ein funktionierendes Beispiel oder gibt's irgendwo eine
brauchbare Schritt für Scrhitt ANleitung.  Irgendwie komme ich mir vor, als
würde ich mächtig im Dunklen stochern.

Oder eine ldaps://-URI benutzen, kannst Du auch vorher auf der
Commandline probieren:

  ldapwhoami -D cn=TilleA,ou=User,ou=APT3,ou=WR,o=rki -W -x -H ldaps://<LDAPSERVER/

Vielleicht lauscht er ja auch auf dem ldaps-Port.


Das tut er offensichtlich nicht, den weder der Eintrag in der ldap.conf noch
die von dir vorgeschlagene Kommandozeile führen zu etwas anderem als

  ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

Viele Grüße

      Andreas.

--
http://fam-tille.de

Reply to:

Follow-Ups:
- Re: pam_ldap debugging
  - From: Christian Schmidt <Christian.Schmidt@chemie.uni-hamburg.de>

References:
- pam_ldap debugging
  - From: Andreas Tille <tillea@rki.de>
- Re: pam_ldap debugging
  - From: Heiko Schlittermann <hs@schlittermann.de>
- Re: pam_ldap debugging
  - From: Andreas Tille <tillea@rki.de>
- Re: pam_ldap debugging
  - From: Heiko Schlittermann <hs@schlittermann.de>

Prev by Date: Re: Lenny 64 BIT
Next by Date: Re: pam_ldap debugging
Previous by thread: Re: pam_ldap debugging
Next by thread: Re: pam_ldap debugging
Index(es):
- Date
- Thread