forum.opennet.ru - "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" (19)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
Сообщение от spmn (ok) on 12-Авг-07, 19:31
Доброго времени! Возникла необходимость производить аутентификацию через LDAP, установленный на FreeBSD сервере. Клиент - Linux Debian. LDAP сервер сконфигурирован и настроен. Через него (через самбу) авторизируются WinXPSP2 клиенты. Чтобы не приводить опять конфиги и не рассматривать варианты, которые я уже перепробовал, дам ссылки на мои темы с этой проблемой в других форумах: http://forum.lissyara.su/viewtopic.php?f=8&t=4461 http://linuxforum.ru/index.php?showtopic=46326 Там есть все конфиги и попытки решения проблемы. Добавлю, что курил Яндекс довольно долго, плюс находил на этом форуме кучу таких же тем и мануалов на эту тему. Ничего не выходит, и еще все они написаны для конфигурации в пределах одной машины, а мне надо именно авторизацию клиентов. Помогите пожалуйста!!!
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, pavel_simple, 07:55 , 13-Авг-07, (1)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, spmn, 08:39 , 13-Авг-07, (2)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, pavel_simple, 08:42 , 13-Авг-07, (3)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, spmn, 08:58 , 13-Авг-07, (5)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, pavel_simple, 09:13 , 13-Авг-07, (8)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, Антон, 08:48 , 13-Авг-07, (4)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, spmn, 08:59 , 13-Авг-07, (6)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, Cyrus_user, 09:08 , 13-Авг-07, (7)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, spmn, 09:24 , 13-Авг-07, (9)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, Cyrus_user, 09:36 , 13-Авг-07, (10)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, spmn, 09:44 , 13-Авг-07, (11)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, Cyrus_user, 09:51 , 13-Авг-07, (12)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, spmn, 09:54 , 13-Авг-07, (13)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, Cyrus_user, 10:00 , 13-Авг-07, (14)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, spmn, 10:06 , 13-Авг-07, (15)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, Cyrus_user, 10:33 , 13-Авг-07, (16)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, spmn, 10:41 , 13-Авг-07, (17)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, rav, 14:23 , 04-Июн-09, (18)

Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD, stal, 18:48 , 17-Ноя-09, (19)

Сообщения по теме [Сортировка по времени | RSS]

1. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от pavel_simple (ok) on 13-Авг-07, 07:55

курите google.com
вопрос не понятен

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от spmn (ok) on 13-Авг-07, 08:39

>курите google.com
>вопрос не понятен
Я уже весь Яндекс скурил на эту тему.
Решение проблемы не нашел.
Иначе бы тут не спрашивал.
А чем не понятен вопрос?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от pavel_simple (ok) on 13-Авг-07, 08:42

>А чем не понятен вопрос?
а как насчёт того чтобы его самому перечитать и подумать что там написано
включить debug перво наперво
с pam'ом чтобы непарится во время дебага отключить остальные модули, оставить только ldap
nss_ldap я так понял работает?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от spmn (ok) on 13-Авг-07, 08:58

>>А чем не понятен вопрос?
>
>а как насчёт того чтобы его самому перечитать и подумать что там
>написано
>
>включить debug перво наперво
>
>с pam'ом чтобы непарится во время дебага отключить остальные модули, оставить только
>ldap
>nss_ldap я так понял работает?
nss_ldap работает.
Не правильно работает толи pam_ldap толи ldap сервер.
Подскажите подробнее про debug, а то я не нашел даже куда ldap логи складывает :(
>Вобщем если надо сделать авторизацию в Debian то все просто в Etch это вообще все по >apt-ge instal решается. с Sarge немного сложнее. Надо ручками создавать файл ldap.secret
У меня именно Debian Etch. Но все равно ни так уж и просто. А фот файла ldap.secret мне не надо, т.к. знание его содержимого дает контроль над всеми пользователями.
Мне вообще теперь кажется что виноват именно ldap сервер, т.к. при попытке логиниться к нему с клиентской машины он выплевывает:
pam_ldap:error trying to bind as user "uid=user,ou=users,dc=PCDServer,dc=ru" (Invalid credentials)
Но пароль я ввожу правильно! :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от pavel_simple (ok) on 13-Авг-07, 09:13

>nss_ldap работает.
это хорошо
>Подскажите подробнее про debug, а то я не нашел даже куда ldap
>логи складывает :(
debug в pam_ldap.conf
смотреть в /var/log/{auth.log,syslog,auth.priv}
>pam_ldap:error trying to bind as user "uid=user,ou=users,dc=PCDServer,dc=ru" (Invalid credentials)
>Но пароль я ввожу правильно! :)
это может быть связанно с методом хранения паролей (md5,ssha т т.д.)
debug должен на это ответить

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от Антон (??) on 13-Авг-07, 08:48

>>курите google.com
>>вопрос не понятен
>
>Я уже весь Яндекс скурил на эту тему.
>Решение проблемы не нашел.
>Иначе бы тут не спрашивал.
>
>А чем не понятен вопрос?
Вобщем если надо сделать авторизацию в Debian то все просто в Etch это вообще все по apt-ge instal решается. с Sarge немного сложнее. Надо ручками создавать файл ldap.secret
В pam.d у мну так:
account sufficient pam_unux.so
account required pam_ldap.so
auth sufficient pam_unix.so nullok_secure
auth required pam_ldap.so use_first_pass
session sufficient pam_unix.su
session required pam_ldap.so

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от spmn (ok) on 13-Авг-07, 08:59

>Вобщем если надо сделать авторизацию в Debian то все просто в Etch
>это вообще все по apt-ge instal решается. с Sarge немного сложнее.
>Надо ручками создавать файл ldap.secret
Ответ выше :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от Cyrus_user on 13-Авг-07, 09:08

>[оверквотинг удален]
>http://linuxforum.ru/index.php?showtopic=46326
>
>Там есть все конфиги и попытки решения проблемы.
>
>Добавлю, что курил Яндекс довольно долго, плюс находил на этом форуме кучу
>таких же тем и мануалов на эту тему. Ничего не выходит,
>и еще все они написаны для конфигурации в пределах одной машины,
>а мне надо именно авторизацию клиентов.
>
>Помогите пожалуйста!!!
давайте соберём информацию воедино.
на хосте, где крутится slapd вы можете зайти под ldap пользователем в систему?
ошибка в конце второй ссылки явно говорит о неверно составленном запросе (или нет прав у того, кто биндится в slapd на просмотр такой информации) покажите лог slapd -d 256 в момент авторизации или:
вы делаете через kdm, а что в /etc/pam.d/kde или если вы используете общесистемные, то возможно перекрытие значений, лучше для сервиса сделать отдельный. в pam_ldap/doc есть пример для kde и работа со связкой auth - password сильно отличается от того, что у вас в общесистемных

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от spmn (ok) on 13-Авг-07, 09:24

>ошибка в конце второй ссылки явно говорит о неверно составленном запросе (или
>нет прав у того, кто биндится в slapd на просмотр такой
>информации) покажите лог slapd -d 256 в момент авторизации или:
>вы делаете через kdm, а что в /etc/pam.d/kde или если вы используете
>общесистемные, то возможно перекрытие значений, лучше для сервиса сделать отдельный. в
>pam_ldap/doc есть пример для kde и работа со связкой auth -
>password сильно отличается от того, что у вас в общесистемных
Дело в том что у всех юзеров (на хосте где slap), кроме одного, оболочкой к логину стоит nologin, но тем юзером у которого оболочка /bin/sh я заходить в систему могу, и локально и по ssh. Но на сервере не настроена аутентификация через ldap, хотя все пользователи хранятся в базе ldap и passwd.
ЛОГ:
conn=4 fd=16 ACCEPT from IP=192.168.2.48:63467 (IP=0.0.0.0:389)
conn=4 op=0 BIND dn="" method=128
conn=4 op=0 RESULT tag=97 err=0 text=
conn=4 op=1 SRCH base="ou=users,dc=PCDServer,dc=ru" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=test))"
conn=4 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
conn=4 op=2 BIND dn="uid=test,ou=users,dc=PCDServer,dc=ru" method=128
conn=4 op=2 RESULT tag=97 err=49 text=
conn=4 op=3 BIND dn="" method=128
conn=4 op=3 RESULT tag=97 err=0 text=
conn=4 op=4 UNBIND
conn=4 fd=16 closed

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от Cyrus_user on 13-Авг-07, 09:36

>conn=4 op=2 BIND dn="uid=test,ou=users,dc=PCDServer,dc=ru" method=128
>conn=4 op=2 RESULT tag=97 err=49 text=
err=49 это Invalid credentials
ну вот видно, что 49 получаем простым запросом и pam_ldap тут не причём. ковыряем права в slapd и пробуем делать нужные действия от имени вышеуказанного юзера.
начните так:
ldapsearch -H ldap://ldap_server:389 -x -W -b "ou=users,dc=PCDServer,dc=ru" -D "uid=test,ou=users,dc=PCDServer,dc=ru" "objectclass=PosixAccount" uid userPassword

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от spmn (ok) on 13-Авг-07, 09:44

>[оверквотинг удален]
>>conn=4 op=2 RESULT tag=97 err=49 text=
>
>err=49 это Invalid credentials
>
>ну вот видно, что 49 получаем простым запросом и pam_ldap тут не
>причём. ковыряем права в slapd и пробуем делать нужные действия от
>имени вышеуказанного юзера.
>начните так:
>ldapsearch -H ldap://ldap_server:389 -x -W -b "ou=users,dc=PCDServer,dc=ru" -D "uid=test,ou=users,dc=PCDServer,dc=ru" "objectclass=PosixAccount" uid userPassword
>
Система приглашает ввести LDAP password, я провожу его ввод.
Причем пробовал и пароль от юзера test и root пароль, результат один:
ldap_bind: Can't contact LDAP server (-1)
Просто команда:
ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию из LDAP базы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от Cyrus_user on 13-Авг-07, 09:51

>Система приглашает ввести LDAP password, я провожу его ввод.
>Причем пробовал и пароль от юзера test и root пароль, результат один:
>
>
>ldap_bind: Can't contact LDAP server (-1)
>
>Просто команда:
>ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию
>из LDAP базы.
ну вот и нашли где зарыта ваша проблема. читайте и ковыряйте ваш ldap сервер, пока ldap admin и test не будут получать необходимую им информацию

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от spmn (ok) on 13-Авг-07, 09:54

>[оверквотинг удален]
>>
>>ldap_bind: Can't contact LDAP server (-1)
>>
>>Просто команда:
>>ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию
>>из LDAP базы.
>
>ну вот и нашли где зарыта ваша проблема. читайте и ковыряйте ваш
>ldap сервер, пока ldap admin и test не будут получать необходимую
>им информацию
Подскажите в какую сторону ковырять ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от Cyrus_user on 13-Авг-07, 10:00

>[оверквотинг удален]
>>>
>>>Просто команда:
>>>ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию
>>>из LDAP базы.
>>
>>ну вот и нашли где зарыта ваша проблема. читайте и ковыряйте ваш
>>ldap сервер, пока ldap admin и test не будут получать необходимую
>>им информацию
>
>Подскажите в какую сторону ковырять ?
в сторону ACL

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от spmn (ok) on 13-Авг-07, 10:06

>в сторону ACL
Простите мое возможно невежество (в nix системах я не долго).
Но при чем тут ACL? На файловой системе у меня оно не используется.
Объясните пожалуйста поподробнее. Чем мне и как может помочь ACL в данном случае.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от Cyrus_user on 13-Авг-07, 10:33

>>в сторону ACL
>
>Простите мое возможно невежество (в nix системах я не долго).
>Но при чем тут ACL? На файловой системе у меня оно не
>используется.
>
>Объясните пожалуйста поподробнее. Чем мне и как может помочь ACL в данном
>случае.
ACL это аббревиатура и звучит она так: access control list или список контроля доступа.
у практически любого сервиса связанного с безопасностью есть этот самый ACL (название может быть другим, суть не меняется)
поскольку речь шла о slapd, то и ответ был о ACL у slapd
вам сюда:
http://www.openldap.org/doc/admin23/slapdconfig.html#Access&...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от spmn (ok) on 13-Авг-07, 10:41

>вам сюда:
>http://www.openldap.org/doc/admin23/slapdconfig.html#Access&...
Составлена опа у меня вроде правильно:
access to attrs=userPassword
        by self write
        by anonymous auth
        by * none
access to *
        by self write
        by anonymous read
        by * none

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от rav (??) on 04-Июн-09, 14:23

Как проблема то решилась?
У меня похожая ситуация, в ACL разрешено все,
в логах
pam_ldap: error trying to bind as user "cn=test123,ou=users,dc=cluster,dc=ru" (Invalid cre
dentials)
ldapsearch -H ldaps://localhost/ -x -w "123" -D "cn=test123,ou=users,dc=cluster,dc=ru"
работает как положено
getent passwd пользователя из ldap показывает, а залогиниться не может.
id test123 говорит нет такого пользователя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD" +/–

Сообщение от stal on 17-Ноя-09, 18:48

>Как проблема то решилась?
>У меня похожая ситуация, в ACL разрешено все,
>в логах
>pam_ldap: error trying to bind as user "cn=test123,ou=users,dc=cluster,dc=ru" (Invalid cre
>dentials)
>ldapsearch -H ldaps://localhost/ -x -w "123" -D "cn=test123,ou=users,dc=cluster,dc=ru"
>работает как положено
>
>getent passwd пользователя из ldap показывает, а залогиниться не может.
>id test123 говорит нет такого пользователя.
у меня аналогично :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
Сообщение от pavel_simple (ok) on 13-Авг-07, 07:55
курите google.com вопрос не понятен
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от spmn (ok) on 13-Авг-07, 08:39
	>курите google.com >вопрос не понятен Я уже весь Яндекс скурил на эту тему. Решение проблемы не нашел. Иначе бы тут не спрашивал. А чем не понятен вопрос?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от pavel_simple (ok) on 13-Авг-07, 08:42
	>А чем не понятен вопрос? а как насчёт того чтобы его самому перечитать и подумать что там написано включить debug перво наперво с pam'ом чтобы непарится во время дебага отключить остальные модули, оставить только ldap nss_ldap я так понял работает?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от spmn (ok) on 13-Авг-07, 08:58
	>>А чем не понятен вопрос? > >а как насчёт того чтобы его самому перечитать и подумать что там >написано > >включить debug перво наперво > >с pam'ом чтобы непарится во время дебага отключить остальные модули, оставить только >ldap >nss_ldap я так понял работает? nss_ldap работает. Не правильно работает толи pam_ldap толи ldap сервер. Подскажите подробнее про debug, а то я не нашел даже куда ldap логи складывает :( >Вобщем если надо сделать авторизацию в Debian то все просто в Etch это вообще все по >apt-ge instal решается. с Sarge немного сложнее. Надо ручками создавать файл ldap.secret У меня именно Debian Etch. Но все равно ни так уж и просто. А фот файла ldap.secret мне не надо, т.к. знание его содержимого дает контроль над всеми пользователями. Мне вообще теперь кажется что виноват именно ldap сервер, т.к. при попытке логиниться к нему с клиентской машины он выплевывает: pam_ldap:error trying to bind as user "uid=user,ou=users,dc=PCDServer,dc=ru" (Invalid credentials) Но пароль я ввожу правильно! :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от pavel_simple (ok) on 13-Авг-07, 09:13
	>nss_ldap работает. это хорошо >Подскажите подробнее про debug, а то я не нашел даже куда ldap >логи складывает :( debug в pam_ldap.conf смотреть в /var/log/{auth.log,syslog,auth.priv} >pam_ldap:error trying to bind as user "uid=user,ou=users,dc=PCDServer,dc=ru" (Invalid credentials) >Но пароль я ввожу правильно! :) это может быть связанно с методом хранения паролей (md5,ssha т т.д.) debug должен на это ответить
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от Антон (??) on 13-Авг-07, 08:48
	>>курите google.com >>вопрос не понятен > >Я уже весь Яндекс скурил на эту тему. >Решение проблемы не нашел. >Иначе бы тут не спрашивал. > >А чем не понятен вопрос? Вобщем если надо сделать авторизацию в Debian то все просто в Etch это вообще все по apt-ge instal решается. с Sarge немного сложнее. Надо ручками создавать файл ldap.secret В pam.d у мну так: account sufficient pam_unux.so account required pam_ldap.so auth sufficient pam_unix.so nullok_secure auth required pam_ldap.so use_first_pass session sufficient pam_unix.su session required pam_ldap.so
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от spmn (ok) on 13-Авг-07, 08:59
	>Вобщем если надо сделать авторизацию в Debian то все просто в Etch >это вообще все по apt-ge instal решается. с Sarge немного сложнее. >Надо ручками создавать файл ldap.secret Ответ выше :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
Сообщение от Cyrus_user on 13-Авг-07, 09:08
>[оверквотинг удален] >http://linuxforum.ru/index.php?showtopic=46326 > >Там есть все конфиги и попытки решения проблемы. > >Добавлю, что курил Яндекс довольно долго, плюс находил на этом форуме кучу >таких же тем и мануалов на эту тему. Ничего не выходит, >и еще все они написаны для конфигурации в пределах одной машины, >а мне надо именно авторизацию клиентов. > >Помогите пожалуйста!!! давайте соберём информацию воедино. на хосте, где крутится slapd вы можете зайти под ldap пользователем в систему? ошибка в конце второй ссылки явно говорит о неверно составленном запросе (или нет прав у того, кто биндится в slapd на просмотр такой информации) покажите лог slapd -d 256 в момент авторизации или: вы делаете через kdm, а что в /etc/pam.d/kde или если вы используете общесистемные, то возможно перекрытие значений, лучше для сервиса сделать отдельный. в pam_ldap/doc есть пример для kde и работа со связкой auth - password сильно отличается от того, что у вас в общесистемных
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от spmn (ok) on 13-Авг-07, 09:24
	>ошибка в конце второй ссылки явно говорит о неверно составленном запросе (или >нет прав у того, кто биндится в slapd на просмотр такой >информации) покажите лог slapd -d 256 в момент авторизации или: >вы делаете через kdm, а что в /etc/pam.d/kde или если вы используете >общесистемные, то возможно перекрытие значений, лучше для сервиса сделать отдельный. в >pam_ldap/doc есть пример для kde и работа со связкой auth - >password сильно отличается от того, что у вас в общесистемных Дело в том что у всех юзеров (на хосте где slap), кроме одного, оболочкой к логину стоит nologin, но тем юзером у которого оболочка /bin/sh я заходить в систему могу, и локально и по ssh. Но на сервере не настроена аутентификация через ldap, хотя все пользователи хранятся в базе ldap и passwd. ЛОГ: conn=4 fd=16 ACCEPT from IP=192.168.2.48:63467 (IP=0.0.0.0:389) conn=4 op=0 BIND dn="" method=128 conn=4 op=0 RESULT tag=97 err=0 text= conn=4 op=1 SRCH base="ou=users,dc=PCDServer,dc=ru" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=test))" conn=4 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= conn=4 op=2 BIND dn="uid=test,ou=users,dc=PCDServer,dc=ru" method=128 conn=4 op=2 RESULT tag=97 err=49 text= conn=4 op=3 BIND dn="" method=128 conn=4 op=3 RESULT tag=97 err=0 text= conn=4 op=4 UNBIND conn=4 fd=16 closed
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от Cyrus_user on 13-Авг-07, 09:36
	>conn=4 op=2 BIND dn="uid=test,ou=users,dc=PCDServer,dc=ru" method=128 >conn=4 op=2 RESULT tag=97 err=49 text= err=49 это Invalid credentials ну вот видно, что 49 получаем простым запросом и pam_ldap тут не причём. ковыряем права в slapd и пробуем делать нужные действия от имени вышеуказанного юзера. начните так: ldapsearch -H ldap://ldap_server:389 -x -W -b "ou=users,dc=PCDServer,dc=ru" -D "uid=test,ou=users,dc=PCDServer,dc=ru" "objectclass=PosixAccount" uid userPassword
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от spmn (ok) on 13-Авг-07, 09:44
	>[оверквотинг удален] >>conn=4 op=2 RESULT tag=97 err=49 text= > >err=49 это Invalid credentials > >ну вот видно, что 49 получаем простым запросом и pam_ldap тут не >причём. ковыряем права в slapd и пробуем делать нужные действия от >имени вышеуказанного юзера. >начните так: >ldapsearch -H ldap://ldap_server:389 -x -W -b "ou=users,dc=PCDServer,dc=ru" -D "uid=test,ou=users,dc=PCDServer,dc=ru" "objectclass=PosixAccount" uid userPassword > Система приглашает ввести LDAP password, я провожу его ввод. Причем пробовал и пароль от юзера test и root пароль, результат один: ldap_bind: Can't contact LDAP server (-1) Просто команда: ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию из LDAP базы.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от Cyrus_user on 13-Авг-07, 09:51
	>Система приглашает ввести LDAP password, я провожу его ввод. >Причем пробовал и пароль от юзера test и root пароль, результат один: > > >ldap_bind: Can't contact LDAP server (-1) > >Просто команда: >ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию >из LDAP базы. ну вот и нашли где зарыта ваша проблема. читайте и ковыряйте ваш ldap сервер, пока ldap admin и test не будут получать необходимую им информацию
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от spmn (ok) on 13-Авг-07, 09:54
	>[оверквотинг удален] >> >>ldap_bind: Can't contact LDAP server (-1) >> >>Просто команда: >>ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию >>из LDAP базы. > >ну вот и нашли где зарыта ваша проблема. читайте и ковыряйте ваш >ldap сервер, пока ldap admin и test не будут получать необходимую >им информацию Подскажите в какую сторону ковырять ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от Cyrus_user on 13-Авг-07, 10:00
	>[оверквотинг удален] >>> >>>Просто команда: >>>ldapsearch -LLL -x -b "dc=PCDServer,dc=ru" "" без ввода пароля - выводит информацию >>>из LDAP базы. >> >>ну вот и нашли где зарыта ваша проблема. читайте и ковыряйте ваш >>ldap сервер, пока ldap admin и test не будут получать необходимую >>им информацию > >Подскажите в какую сторону ковырять ? в сторону ACL
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от spmn (ok) on 13-Авг-07, 10:06
	>в сторону ACL Простите мое возможно невежество (в nix системах я не долго). Но при чем тут ACL? На файловой системе у меня оно не используется. Объясните пожалуйста поподробнее. Чем мне и как может помочь ACL в данном случае.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от Cyrus_user on 13-Авг-07, 10:33
	>>в сторону ACL > >Простите мое возможно невежество (в nix системах я не долго). >Но при чем тут ACL? На файловой системе у меня оно не >используется. > >Объясните пожалуйста поподробнее. Чем мне и как может помочь ACL в данном >случае. ACL это аббревиатура и звучит она так: access control list или список контроля доступа. у практически любого сервиса связанного с безопасностью есть этот самый ACL (название может быть другим, суть не меняется) поскольку речь шла о slapd, то и ответ был о ACL у slapd вам сюда: http://www.openldap.org/doc/admin23/slapdconfig.html#Access&...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от spmn (ok) on 13-Авг-07, 10:41
	>вам сюда: >http://www.openldap.org/doc/admin23/slapdconfig.html#Access&... Составлена опа у меня вроде правильно: access to attrs=userPassword by self write by anonymous auth by * none access to * by self write by anonymous read by * none
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

18. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
Сообщение от rav (??) on 04-Июн-09, 14:23
Как проблема то решилась? У меня похожая ситуация, в ACL разрешено все, в логах pam_ldap: error trying to bind as user "cn=test123,ou=users,dc=cluster,dc=ru" (Invalid cre dentials) ldapsearch -H ldaps://localhost/ -x -w "123" -D "cn=test123,ou=users,dc=cluster,dc=ru" работает как положено getent passwd пользователя из ldap показывает, а залогиниться не может. id test123 говорит нет такого пользователя.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Опять pam_ldap. FreeBSD + Debian или FreeBSD + FreeBSD"		+/–
	Сообщение от stal on 17-Ноя-09, 18:48
	>Как проблема то решилась? >У меня похожая ситуация, в ACL разрешено все, >в логах >pam_ldap: error trying to bind as user "cn=test123,ou=users,dc=cluster,dc=ru" (Invalid cre >dentials) >ldapsearch -H ldaps://localhost/ -x -w "123" -D "cn=test123,ou=users,dc=cluster,dc=ru" >работает как положено > >getent passwd пользователя из ldap показывает, а залогиниться не может. >id test123 говорит нет такого пользователя. у меня аналогично :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору