Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Ongelmaa Ldap-tunnistuksessa

1 view
Skip to first unread message

Juha

unread,
Apr 4, 2003, 4:01:12 PM4/4/03
to
Kolme linux-konetta, joista yksi toimii ldap-palvelimena, ja kaksi muuta
käyttää sen tarjoamaa ldap-tietokantaa käyttäjän tunnistukseen.
Toiseen näistä koneista tunnistus toimii ongelmitta, mutta toisen kanssa
on omituisia ongelmia.

Ldap-kannassa on kolme käyttäjää (olkoon vaikka a, b, c), joista
kahden tunnuksilla (a, c) pystyi kirjautumaan koneeseen sisään,
kolmannen tunnuksilla (b) kirjautumisessa oli ongelmia, joiden luonne ja
esiintymistapa vaihteli riippuen siitä mitä milloinkin /etc/pam.d/
-hakemiston tiedostoihin kirjoitteli.

Tällä hetkellä hakemiston tiedostoista on poistettu kaikki viittaukset
/lib/security/pam_ldap.so -kirjastoon. /etc/nssswitch.conf -tiedostossa on
määritys

passwd: files compat ldap
shadow: files compat ldap
group: files compat ldap

paikallisia käyttäjiä koneeseen ei ole lisätty.

Koska ongelmia esiintyi aluksi vain yhdellä käyttäjällä (b) kolmesta,
ajattelin varmuuden vuoksi vaihtaa salasanan ldap-kannasta, ei auttanut.
Tämän jälkeen vaihdoin kokeeksi myös toisen käyttäjän (c)
salasanan. Ja kas, nyt tämänkään käyttäjän tunnuksilla ei päässyt
kirjautumaan sisään.

Tämän jälkeen resetoin kerralla molempien (b, c) salasanat uudelleen,
ja nyt tulos oli se, että a ja b -käyttäjillä kirjautuminen onnistuu,
käyttäjällä c ei...

Ongelmakone on Mandrake 9.1, jossa openldap versio on 2.0.27-4mdk,
palvelin ja kiltisti toimiva kone ovat Mandrake 9.0, joissa on versio
2.0.25-7.1mdk. pam_ldap.so on kaikissa koneissa sama.

Onko kukaan koskaan törmännyt vastaavaan, ideoita?

--
Juha

tel +358-50-514 9657
email jomustaj at iki dot fi
www http://www.iki.fi/~jomustaj/

Humans are destined to be party animals, and the technology will
follow. --Linus Torvalds

Asmo Koskinen

unread,
Apr 6, 2003, 4:53:02 AM4/6/03
to
Juha wrote:
> Ongelmakone on Mandrake 9.1, jossa openldap versio on 2.0.27-4mdk,
> palvelin ja kiltisti toimiva kone ovat Mandrake 9.0, joissa on versio
> 2.0.25-7.1mdk. pam_ldap.so on kaikissa koneissa sama.

Minulla on openldap palvelimella (mdk 9.0) ja testaan työasemassa
vuoronperään mdk 9.0:aa ja mdk 9.1:aa. Kaikki toimivat suoraan
paketeista, en ole edes päivittänyt niitä, koska koneet eivät ole vielä
piuhan päässä.

Olen seurannut ilman mitään omia lisäyksiä tätä ohjetta, lue ihmeessä,
ellei ole tuttu ennestään:

http://www.mandrakesecure.net/en/docs/ldap-auth.php

Tunnukset ja salasanat luodaan/vaihdetaan työasemasta
directory_administration-ohjelmalla.

Työasemissa ei ole paikallisia tunnuksia, paitsi root, ja /home makaa
kummassakin tapauksessa palvelimella nfs:n takana. Yritän luoda
keskitetyn KDE:n hallinnan, jossa palvelin jakaa nfs:n avulla kaikki
KDE:n config-hakemiston tiedostot työasemiin. Ja niihin on sopivasti
lisätty immuuniteettia [$i].

Tähän innoituksen lähde on tämä artikkeli:

http://www.linux-mag.com/2002-11/kde_01.html

Mutta vastausta ei minulla ole, mdk-ympäristössä nuo kaikki pyörivät
ilman ongelmia sisäänkirjautumisessa.

Ystävällisin terveisin Asmo Koskinen.

Tomi Hakala

unread,
Apr 9, 2003, 11:47:21 AM4/9/03
to
Juha wrote:
> Tällä hetkellä hakemiston tiedostoista on poistettu kaikki viittaukset
> /lib/security/pam_ldap.so -kirjastoon. /etc/nssswitch.conf -tiedostossa on
> määritys

> Onko kukaan koskaan törmännyt vastaavaan, ideoita?

Katsoppa näkyykö LDAP kannassa olevat tunnukset LDAP asiakaskoneillasi
komennolla "getent passwd" ?

Jos LDAP kannassa olevat tunnukset näkyvät listauksessa testaa näkyykö
"getent shadow" komennolla ko. tunnusten kryptattu salasana.

Jos nämä komennot näyttävät kannassa olevan tunnukset ok. niin silloin
ainakin LDAP yhteys asiakaskoneelta palvelimelle toimii.

--
Tomi Hakala
tomi....@clinet.fi

0 new messages