Ralf Prengel <ralf.prengel@rprengel.de> (Di 18 Mai 2021 17:26:11 CEST): > I ve to connect a debain 9 to an old Suse 11 openldap server. > Logins are working (tested several times including password changes ) but > groups are not transfered. Login hat in der Regel etwas mit PAM zu tun (auth provider). Die Liste der Nutzer-Attribute und Gruppen kommt über NSS (id provider). Oft wird das Login über PAM nicht funktionieren, wenn auch User-ID (per NSS) nicht bekannt ist. Bin mir aber nicht 100% sicher, ob ein Login nicht doch funktioniert, selbst wenn die User-ID/Gruppen-ID dann nicht kommt. (Ich halte es für sehr unwahrscheinlich, aber vielleicht gibt es in Deinem Setup etwas, was Du uns noch nicht verraten hast :) Vielleicht hast Du das Login nur mit Nutzern versucht, deren Attribute man aus der lokalen Passwort-Datei auslesen konnte.) Bei Debian werden PAM und NSS für LDAP in *eigenen* Files konfiguriert, ich meine, es gibt irgendwo eine pam_ldap.conf und dann eine nss_ldap.conf, bzw. auch anders, wenn Du nslcd statt nss_ldap verwendest. Ansonsten kann ich dem der anderen Schreiber nichts hinzufügen. Du musst rausfinden, auf welchem Weg bei Dir die Authentifizierung läuft, und auf welchem Wege die Bereitstellung der User-IDs. Zeigt `id <user>` denn Namen und UID für *nicht-lokale* Nutzer? Sind es wirklich nur die Gruppen, die da fehlen, oder ist es mehr? Falls es nur die Gruppen sind - dann wirklich gründlich in der Konfiguration des jeweils verwendeten NSS Moduls gucken, da steht auch irgendwo vergraben, *wie* über LDAP die Gruppen ermittelt werden (Stichworte: Base-DN (wird passen, wenn Du die Nutzer-IDs bekommst), Schema, Search-Filter, Attribute). Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de ---------------------------- internet & unix support - Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} - gnupg encrypted messages are welcome --------------- key ID: F69376CE -
Attachment:
signature.asc
Description: PGP signature