[sisyphus] Аутентификация пользователей через ldap

ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed

From: Krasavin Andrey <krasavin@kominet.ru>
To: sisyphus@altlinux.ru
Subject: [sisyphus] Аутентификация пользователей через ldap
Date: Mon, 3 Oct 2005 09:13:17 +0400
Message-ID: <20051003051317.GA6824@AKrasavin.localdomain> (raw)

Добрый день!

Помогите, пожалуйста, с настройкой аутентификации через ldap.
Поставил необходимые пакеты nss_ldap и pam_ldap, прочитал статьи
по настройке, вроде ничего сложного, да не выходит. После всех
настроек пытаюсь залогиниться, ввожу имя пользователя, пароль, а
меня обратно выкидывает на login, при этом в логи сыпятся
сообщения от slapd.conf и смущает, что там есть строка bind
dn="", т.е. подозрение, что какая-та служба не может
приконектиться к серверу ldap (могу ошибаться, поправьте если что).

Однако при init 1 я под рутом логинюсь, делаю service network
start, service slapd start и все на первый взгляд в порядке. ldap
работает: проверял, заведя в ldap тестового юзера pupkin и по
команде id pupkin выдается информация, которая введена в лдапе.

Возможно просто где-то закралась синтаксическая ошибка, поэтому
посмотрите, пожалуйста свежим взглядом на мои настройки:

cat /var/ftp/incoming/nsswitch.conf | egrep -v "^#|^;|^$|^ *$"
passwd:     files ldap nisplus nis
shadow:     tcb files ldap nisplus nis
group:      files ldap nisplus nis
hosts:      files nisplus nis dns
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files
bootparams: nisplus [NOTFOUND=return] files
netgroup:   nisplus
publickey:  nisplus
automount:  files nisplus
aliases:    files nisplus

cat /var/ftp/incoming/nss_ldap.conf | egrep -v "^#|^;|^$|^ *$"
 @(#)$Id: ldap.conf,v 2.42 2005/05/20 05:33:55 lukeh Exp $
 host 127.0.0.1
 base dc=komitex,dc=ru
 rootbinddn cn=negber,dc=komitex,dc=ru
 scope one
 pam_filter objectclass=posixAccount
 pam_login_attribute uid
 pam_member_attribute gid
 pam_password crypt
 nss_base_passwd ou=People,dc=komitex,dc=ru?one
 nss_base_shadow ou=People,dc=komitex,dc=ru?one
 nss_base_group ou=Groups,dc=komitex,dc=ru?one

cat /var/ftp/incoming/pam_ldap.conf | egrep -v "^#|^;|^$|^ *$"
host 127.0.0.1
base dc=komitex,dc=ru
rootbinddn cn=negber,dc=komitex,dc=ru
scope one
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute gid
pam_password crypt
nss_base_passwd ou=People,dc=komitex,dc=ru?one
nss_base_shadow ou=People,dc=komitex,dc=ru?one
nss_base_group ou=Groups,dc=komitex,dc=ru?one

cat /var/ftp/incoming/system-auth | egrep -v "^#|^;|^$|^ *$"
auth     sufficient     /lib/security/pam_ldap.so use_first_pass
auth     required       pam_tcb.so shadow fork prefix=$2a$
count=8 nullok
account  sufficient /lib/security/pam_ldap.so
account  required       pam_tcb.so shadow fork
account  required       pam_mktemp.so
password required       pam_passwdqc.so min=disabled,24,12,8,7
max=40 passphrase=3 match=4 similar=deny random=42 enforce=users
retry=3
password sufficient /lib/security/pam_ldap.so use_authtok
password required       pam_tcb.so use_authtok shadow fork
prefix=$2a$ count=8 nullok write_to=tcb
session  sufficient /lib/security/pam_ldap.so
session  required       pam_tcb.so
session  required       pam_limits.so
session required /lib/security/pam_mkhomedir.so
skel=/etc/skel.ru_RU.CP1251

cat /var/ftp/incoming/system-auth-use_first_pass | egrep -v
"^#|^;|^$|^ *$"
auth     sufficient     pam_tcb.so shadow fork prefix=$2a$
count=8 nullok use_first_pass
auth     required /lib/security/pam_ldap.so     use_first_pass
password sufficient /lib/security/pam_ldap.so use_authtok
password required       pam_tcb.so use_authtok shadow fork
prefix=$2a$ count=8 nullok write_to=tcb

Может я еще чего забыл поднастроить? Буду признателен, если
кто-нибудь отправит свои работающие конфиги.

-- 
WBR, Krasavin Andrey

next             reply	other threads:[~2005-10-03  5:13 UTC|newest]

Thread overview: 8+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2005-10-03  5:13 Krasavin Andrey [this message]
2005-10-03  5:58 ` Alexey Shabalin
2005-10-03  6:09   ` Krasavin Andrey
2005-10-03  6:28     ` Alexey Shabalin
2005-10-03  6:45       ` Krasavin Andrey
2005-10-03 10:04         ` Krasavin Andrey
2005-10-03 13:57           ` [sisyphus] " Michael Shigorin
2005-10-03 11:54         ` [sisyphus] " Dmitry V. Levin

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20051003051317.GA6824@AKrasavin.localdomain \
    --to=krasavin@kominet.ru \
    --cc=sisyphus@altlinux.ru \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git