Ralf Prengel <ralf.prengel@rprengel.de> (Di 18 Mai 2021 17:26:11 CEST):
> I ve to connect a debain 9 to an old Suse 11 openldap server.
> Logins are working (tested several times including password changes ) but
> groups are not transfered.
Login hat in der Regel etwas mit PAM zu tun (auth provider).
Die Liste der Nutzer-Attribute und Gruppen kommt über NSS (id provider).
Oft wird das Login über PAM nicht funktionieren, wenn auch User-ID (per
NSS) nicht bekannt ist. Bin mir aber nicht 100% sicher, ob ein Login
nicht doch funktioniert, selbst wenn die User-ID/Gruppen-ID dann nicht
kommt. (Ich halte es für sehr unwahrscheinlich, aber vielleicht gibt es
in Deinem Setup etwas, was Du uns noch nicht verraten hast :) Vielleicht
hast Du das Login nur mit Nutzern versucht, deren Attribute man aus der
lokalen Passwort-Datei auslesen konnte.)
Bei Debian werden PAM und NSS für LDAP in *eigenen* Files konfiguriert,
ich meine, es gibt irgendwo eine pam_ldap.conf und dann eine
nss_ldap.conf, bzw. auch anders, wenn Du nslcd statt nss_ldap
verwendest.
Ansonsten kann ich dem der anderen Schreiber nichts hinzufügen. Du musst
rausfinden, auf welchem Weg bei Dir die Authentifizierung läuft, und auf
welchem Wege die Bereitstellung der User-IDs.
Zeigt `id <user>` denn Namen und UID für *nicht-lokale* Nutzer? Sind es
wirklich nur die Gruppen, die da fehlen, oder ist es mehr?
Falls es nur die Gruppen sind - dann wirklich gründlich in der
Konfiguration des jeweils verwendeten NSS Moduls gucken, da steht auch
irgendwo vergraben, *wie* über LDAP die Gruppen ermittelt werden
(Stichworte: Base-DN (wird passen, wenn Du die Nutzer-IDs bekommst),
Schema, Search-Filter, Attribute).
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: F69376CE -
Attachment:
signature.asc
Description: PGP signature