The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Авторизация pam_ldap"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 16-Окт-12, 07:10 
Вобщем настроил на сервере контроллер.
Samba 3.6
Openldap 2.4 клиент/сервер
nss_ldap
pam_ldap из портов.
Как контроллер работает все нормально. Пользователей видит, все хорошо. Встала задача, добавить авторизацию через pam_ldap. Нужно в частности для ftp сервера proftpd.
У меня стоит версия 1.3.4b судя по всему прямой поддежки лдап авторизации у нее нет, видимо убрали в этой версии.
Вобщем проблема в настройке pam_ldap. Никак не хочет работать. Вот конфиги имеющие отношение к проблеме.

/usr/local/etc/openldap/slapd.conf


include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema
include         /usr/local/etc/openldap/schema/samba.schema

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

loglevel        -1
logfile         /var/log/slapd.log
modulepath      /usr/local/libexec/openldap
moduleload      back_bdb


database        bdb
suffix          "dc=bcity,dc=local"
rootdn          "cn=root,dc=bcity,dc=local"
rootpw          {SSHA}rbMALk0oE1jqeQnxjTsp6OJvwapI8yK1

directory       /var/db/openldap-data

index   objectClass,uid,uidNumber,gidNumber     eq
index   cn,mail,surname,givenname               eq,subinitial

index   sambaSID                                eq
index   sambaPrimaryGroupSID                    eq
index   sambaDomainName                         eq

access to attrs=userPassword
    by self write
    by anonymous auth
    by * none

access to attrs=sambaLMPassword,sambaNTPassword
    by dn="cn=root,dc=bcity,dc=local" write
    by * none

access to *
    by self write
    by anonymous read
    by * none

/usr/local/etc/nss_ldap.conf


host 192.168.1.254
base dc=bcity,dc=local

ldap_version 3
port 389

scope one

timelimit 30
bind_timelimit 10
bind_policy soft
nss_connect_policy persist

idle_timelimit 3600
nss_paged_results yes

pagesize 1000

nss_base_passwd         ou=users,dc=bcity,dc=local?one
nss_base_group          ou=groups,dc=bcity,dc=local?one
nss_base_shadow         ou=users,dc=bcity,dc=local?one

/usr/local/etc/ldap.conf


host 127.0.0.1
base dc=bcity,dc=local
uri ldapi://%2fvar%2frun%2fopenldap%2fldapi/
ldap_version 3
binddn cn=root,dc=bcity,dc=local
bindpw password
rootbinddn cn=root,dc=bcity,dc=local
port 389
scope one
timelimit 30
bind_timelimit 30
nss_reconnect_tries 4
nss_reconnect_sleeptime 1
nss_reconnect_maxsleeptime 10
nss_reconnect_maxconntries 2
bind_policy soft
idle_timelimit 3600
pam_filter objectclass=top
pam_login_attribute uid
pam_min_uid 0
pam_max_uid 65530
pam_password SSHA
nss_base_passwd         ou=users,dc=bcity,dc=local?one
nss_base_group          ou=groups,dc=bcity,dc=local?one
nss_base_shadow         ou=users,dc=bcity,dc=local?one

/etc/nsswithc.conf


group: files ldap
group_compat: nis
hosts: files dns
networks: files
passwd: files ldap
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
shadow: files ldap

При загрузке в /var/log/messages выдает такое:


Oct 16 11:05:22 pdcbc slapd[1287]: nss_ldap: could not search LDAP server - Server is unavailable
Oct 16 11:05:22 pdcbc slapd[1287]: nss_ldap: could not search LDAP server - Server is unavailable
O

Покапался в интернете, вроде все сводится к тому, что проблема разовая при загрузке. Связана с тем что nss_ldap стартует раньше slapd, если не повторяется при запросах то и бог с ним. Возможно перегружен сервер, но в моем случае это вряд ли.
top показывает нулевую загрузку.
Хотя есть один странным момент, когда логинишься после ввода имени пользователя идет большая задержка перед приглашением ввести пароль, видимо что то ищет. Возможно как раз и пытаесят связаться с сервером. Хотя не должен, потому что в pam.d ничего не менял связанное с ssh.

/etc/pam.d/ftp


auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
auth            required        pam_unix.so             no_warn try_first_pass
auth            sufficient      /usr/local/lib/pam_ldap.so no_warn

account         required        pam_nologin.so
account         required        pam_unix.so
account         sufficient      /usr/local/lib/pam_ldap.so

session         required        pam_permit.so

/usr/local/etc/proftpd.conf


ServerName                      "B-city FTP servet"
ServerType                      standalone
DefaultServer                   on
ScoreboardFile                  /var/run/proftpd/proftpd.scoreboard
Port                            21
AuthPAM                         on
Umask                           022
MaxInstances                    30
CommandBufferSize               512
RootLogin                       on
User                            nobody
Group                           nogroup
DefaultRoot                     / root
DefaultRoot                     /usr/local/www/pdcbc/ bcity
AllowOverwrite                  on
<Limit SITE_CHMOD>
  DenyAll
</Limit>

Авторизация не проходит, в логах пишет следущее:
/var/log/messages


Oct 16 11:32:14 pdcbc proftpd: pam_ldap: error trying to bind as user "uid=admin,ou=users,dc=bcity,dc=local" (Invalid credentials)

/var/log/auth.log

pdcbc proftpd[1985]: pdcbc (192.168.1.5[192.168.1.5]) - USER admin (Login failed): Incorrect password.

/var/log/debug.log


Oct 16 11:45:25 pdcbc slapd[2088]: conn=1002 fd=10 ACCEPT from IP=127.0.0.1:50502 (IP=127.0.0.1:389)
Oct 16 11:45:25 pdcbc slapd[2088]: conn=1002 op=0 BIND dn="cn=root,dc=bcity,dc=local" method=128
Oct 16 11:45:25 pdcbc slapd[2088]: conn=1002 op=0 BIND dn="cn=root,dc=bcity,dc=local" mech=SIMPLE ssf=0
Oct 16 11:45:25 pdcbc slapd[2088]: conn=1002 op=0 RESULT tag=97 err=0 text=
Oct 16 11:45:25 pdcbc slapd[2088]: connection_input: conn=1002 deferring operation: binding
Oct 16 11:45:25 pdcbc slapd[2088]: conn=1002 op=1 SRCH base="" scope=0 deref=0 filter="(objectClass=*)"
Oct 16 11:45:25 pdcbc slapd[2088]: conn=1002 op=1 SRCH attr=supportedControl
Oct 16 11:45:25 pdcbc slapd[2088]: conn=1002 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:25 pdcbc slapd[2088]: conn=1002 op=2 SRCH base="sambaDomainName=BCITY,dc=bcity,dc=local" scope=2 deref=0 filter="(objectClass=sambaTrustedDomainPassword)"
Oct 16 11:45:25 pdcbc slapd[2088]: conn=1002 op=2 SRCH attr=sambaDomainName sambaSID
Oct 16 11:45:25 pdcbc slapd[2088]: conn=1002 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 fd=15 ACCEPT from IP=192.168.1.254:22511 (IP=192.168.1.254:389)
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=0 BIND dn="" method=128
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=0 RESULT tag=97 err=0 text=
Oct 16 11:45:29 pdcbc slapd[2088]: connection_input: conn=1003 deferring operation: binding
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=2 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10001))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=3 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=3 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=4 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10001))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=4 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=4 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=5 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=6 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(|(memberUid=admin)(uniqueMember=uid=admin,ou=users,dc=bcity,dc=local)))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=6 SRCH attr=gidNumber
Oct 16 11:45:29 pdcbc slapd[2088]: <= bdb_equality_candidates: (memberUid) not indexed
Oct 16 11:45:29 pdcbc slapd[2088]: <= bdb_equality_candidates: (uniqueMember) not indexed
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=6 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=7 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(uniqueMember=cn=admins,ou=groups,dc=bcity,dc=local))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=7 SRCH attr=gidNumber
Oct 16 11:45:29 pdcbc slapd[2088]: <= bdb_equality_candidates: (uniqueMember) not indexed
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=7 SEARCH RESULT tag=101 err=0 nentries=0 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=8 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10001))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=8 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=8 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=9 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10000))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=9 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=9 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 op=10 UNBIND
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1003 fd=15 closed
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 fd=17 ACCEPT from IP=192.168.1.254:54238 (IP=192.168.1.254:389)
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 op=0 BIND dn="" method=128
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 op=0 RESULT tag=97 err=0 text=
Oct 16 11:45:29 pdcbc slapd[2088]: connection_input: conn=1004 deferring operation: binding
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 op=2 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 op=2 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 fd=15 ACCEPT from PATH=/var/run/openldap/ldapi (PATH=/var/run/openldap/ldapi)
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=0 BIND dn="cn=root,dc=bcity,dc=local" method=128
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=0 BIND dn="cn=root,dc=bcity,dc=local" mech=SIMPLE ssf=0
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=0 RESULT tag=97 err=0 text=
Oct 16 11:45:29 pdcbc slapd[2088]: connection_input: conn=1005 deferring operation: binding
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=1 SRCH attr=host authorizedService shadowExpire shadowFlag shadowInactive shadowLastChange shadowMax shadowMin shadowWarning uidNumber
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=2 BIND anonymous mech=implicit ssf=0
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=2 BIND dn="uid=admin,ou=users,dc=bcity,dc=local" method=128
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=2 RESULT tag=97 err=49 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=3 BIND dn="cn=root,dc=bcity,dc=local" method=128
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=3 BIND dn="cn=root,dc=bcity,dc=local" mech=SIMPLE ssf=0
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=3 RESULT tag=97 err=0 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 op=3 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 op=3 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1004 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=

Собственно если сразу выделить ту часть где ошибка 49


Oct 16 11:45:29 pdcbc slapd[2088]: connection_input: conn=1005 deferring operation: binding
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=1 SRCH attr=host authorizedService shadowExpire shadowFlag shadowInactive shadowLastChange shadowMax shadowMin shadowWarning uidNumber
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=2 BIND anonymous mech=implicit ssf=0
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=2 BIND dn="uid=admin,ou=users,dc=bcity,dc=local" method=128
Oct 16 11:45:29 pdcbc slapd[2088]: conn=1005 op=2 RESULT tag=97 err=49 text=

таких мест там пару есть.
Может что то не так со структурой базы: Вот что я добавлял в базу:


dn: dc=bcity,dc=local
objectClass: dcObject
objectClass: organization
objectClass: top
dc: bcity
o: bcity

dn: ou=users,dc=bcity,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=bcity,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=computers,dc=bcity,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers

команда:


ldapsearch -H ldap://192.168.1.254:389 -x -W -b "ou=users,dc=bcity,dc=local" -D "uid=admin,ou=users,dc=bcity,dc=local" "objectclass=organizationalUnit" uid userPassword

после проверки пароля выдает

Enter LDAP Password:
ldap_bind: Invalid credentials (49)

В логах пишет следущее:
 
Oct 16 12:10:42 pdcbc slapd[1881]: conn=1000 fd=10 ACCEPT from IP=192.168.1.254:59431 (IP=192.168.1.254:389)
Oct 16 12:10:42 pdcbc slapd[1881]: conn=1000 op=0 BIND dn="uid=admin,ou=users,dc=bcity,dc=local" method=128
Oct 16 12:10:42 pdcbc slapd[1881]: conn=1000 op=0 RESULT tag=97 err=49 text=
Oct 16 12:10:42 pdcbc slapd[1881]: conn=1000 op=1 UNBIND
Oct 16 12:10:42 pdcbc slapd[1881]: conn=1000 fd=10 closed

ну и на последок


]# ps -ax | grep slapd
1881  ??  Is   0:00.02 /usr/local/libexec/slapd -h ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://192.168.1.254/ ldap://127.0.0.1/ -u ldap -g ldap

Подскажите куда копать, все уже перепробовал. Никак не хочет авторизоваться.
Дело тут не в фтп. Пробовал в pam.d/login меня на pam_ldap.so ошибки те же самые, результат тот же.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Авторизация pam_ldap"  +/
Сообщение от JohnProfic (ok) on 16-Окт-12, 10:10 
Покажите полную структуру дерева и полностью запись для uid=admin,ou=users,dc=bcity,dc=local
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 16-Окт-12, 10:17 
> Покажите полную структуру дерева и полностью запись для uid=admin,ou=users,dc=bcity,dc=local

Как это сделать? Команда какая то? Полскажите, я только занялся этим вопросом.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 16-Окт-12, 10:33 
> Покажите полную структуру дерева и полностью запись для uid=admin,ou=users,dc=bcity,dc=local

LDAP admin показывает по этой учетке следующее:


objectClass: account
objectClass: posixAccount
objectClass: sambaSamAccount
cn: admin
uid: admin
uidNumber: 10000
gidNumber: 10001
homeDirectory: /home/samba/homes/admin
loginShell: /bin/sbin/nologin
gecos: admin
description: User account
userPassword: {SSHA}W9WuIXBBOxmaxfQV+GHnLqY4h3WyiHS5
sambaSID: S-1-5-21-440049919-491013197-876283771-1001
displayName: admin
sambaNTPassword: 6AAE6D695502972D3FC8AA992CCEB76B
sambaPasswordHistory: 0000000000000000000000000000000000000000000000000000000000000000
sambaPwdLastSet: 1349341622
sambaAcctFlags: [U          ]

вот еще вывод команды по аккаунтам:


[root@pdcbc /samba]# ldapsearch -b "ou=users,dc=bcity,dc=local" - x -W -D "uid=test,ou=users,dc=bcity,dc=local" "(objectClass=*)"
# extended LDIF
#
# LDAPv3
# base <ou=users,dc=bcity,dc=local> with scope subtree
# filter: (objectclass=*)
# requesting: - x -W -D uid=test,ou=users,dc=bcity,dc=local (objectClass=*)
#

# users, bcity.local
dn: ou=users,dc=bcity,dc=local

# admin, users, bcity.local
dn: uid=admin,ou=users,dc=bcity,dc=local

# ikoma, users, bcity.local
dn: uid=ikoma,ou=users,dc=bcity,dc=local

# ikom, users, bcity.local
dn: uid=ikom,ou=users,dc=bcity,dc=local

# nastya, users, bcity.local
dn: uid=nastya,ou=users,dc=bcity,dc=local

# test, users, bcity.local
dn: uid=test,ou=users,dc=bcity,dc=local

# search result
search: 2
result: 0 Success

# numResponses: 7
# numEntries: 6


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Авторизация pam_ldap"  +/
Сообщение от JohnProfic (ok) on 16-Окт-12, 11:25 
На первый взгляд со стороны лдапа вроде все нормально.
А вы уверены, что самбовский и обычный пароли идентичны друг другу? Пользователь ведь мог и поменять свой пароль через самбу.

Со строны pam-а не все так гладко. По идее общая структура записей должна быть что-то вроде:


auth      sufficient  pam_unix.so no_warn
auth      sufficient  /usr/local/lib/pam_ldap.so no_warn use_first_pass
auth      required    pam_deny.so

Но тут я не уверен, т.к. настройка pam-а во фре может отличаться от линуксовой.

Но все-равно вначале нужно добиться, чтобы
ldapsearch -H ldap://192.168.1.254 -x -D "uid=admin,ou=users,dc=bcity,dc=local" -W -b "ou=users,dc=bcity,dc=local"
выдавал, хоть что-нибудь

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Авторизация pam_ldap"  +/
Сообщение от Z0termaNN (ok) on 16-Окт-12, 10:48 
для начала меня очень смущает присутствие и ldapi и хоста d /etc/ldap.conf.
если посмотреть, то видно, что отлупы происходят именно когда подключение происходит
по ldapi. поэтому стоит либо ldapi убрать, либо подкрутить minssf=0
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 16-Окт-12, 10:55 
> для начала меня очень смущает присутствие и ldapi и хоста d /etc/ldap.conf.
> если посмотреть, то видно, что отлупы происходят именно когда подключение происходит
> по ldapi. поэтому стоит либо ldapi убрать, либо подкрутить minssf=0

Убрал не помогает, второй вариант с minssf 0 и включенным ldapi тоже попробовал. Результат тот же.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Авторизация pam_ldap"  +/
Сообщение от Z0termaNN (ok) on 16-Окт-12, 10:59 
>> для начала меня очень смущает присутствие и ldapi и хоста d /etc/ldap.conf.
>> если посмотреть, то видно, что отлупы происходят именно когда подключение происходит
>> по ldapi. поэтому стоит либо ldapi убрать, либо подкрутить minssf=0
> Убрал не помогает, второй вариант с minssf 0 и включенным ldapi тоже
> попробовал. Результат тот же.

еще раз лог с отлупами можно ?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 16-Окт-12, 11:13 
> еще раз лог с отлупами можно ?


Oct 16 16:15:00 pdcbc slapd[3229]: conn=1000 fd=10 ACCEPT from IP=192.168.1.254:34314 (IP=192.168.1.254:389)
Oct 16 16:15:00 pdcbc slapd[3229]: conn=1000 op=0 BIND dn="" method=128
Oct 16 16:15:00 pdcbc slapd[3229]: conn=1000 op=0 RESULT tag=97 err=0 text=
Oct 16 16:15:00 pdcbc slapd[3229]: connection_input: conn=1000 deferring operation: binding
Oct 16 16:15:00 pdcbc slapd[3229]: conn=1000 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=root))"
Oct 16 16:15:00 pdcbc slapd[3229]: conn=1000 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Oct 16 16:15:00 pdcbc slapd[3229]: conn=1000 op=2 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(memberUid=root))"
Oct 16 16:15:00 pdcbc slapd[3229]: conn=1000 op=2 SRCH attr=gidNumber
Oct 16 16:15:00 pdcbc slapd[3229]: <= bdb_equality_candidates: (memberUid) not indexed
Oct 16 16:15:00 pdcbc slapd[3229]: conn=1000 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Oct 16 16:15:00 pdcbc slapd[3229]: conn=1000 fd=10 closed (connection lost)
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 fd=10 ACCEPT from IP=192.168.1.254:51688 (IP=192.168.1.254:389)
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=0 BIND dn="" method=128
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=0 RESULT tag=97 err=0 text=
Oct 16 16:15:16 pdcbc slapd[3229]: connection_input: conn=1001 deferring operation: binding
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=2 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10001))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=3 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=3 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=4 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10001))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=4 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=4 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=5 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=6 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(|(memberUid=admin)(uniqueMember=uid=admin,ou=users,dc=bcity,dc=local)))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=6 SRCH attr=gidNumber
Oct 16 16:15:16 pdcbc slapd[3229]: <= bdb_equality_candidates: (memberUid) not indexed
Oct 16 16:15:16 pdcbc slapd[3229]: <= bdb_equality_candidates: (uniqueMember) not indexed
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=6 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=7 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(uniqueMember=cn=admins,ou=groups,dc=bcity,dc=local))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=7 SRCH attr=gidNumber
Oct 16 16:15:16 pdcbc slapd[3229]: <= bdb_equality_candidates: (uniqueMember) not indexed
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=7 SEARCH RESULT tag=101 err=0 nentries=0 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=8 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10001))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=8 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=8 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=9 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10000))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=9 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=9 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 op=10 UNBIND
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 fd=16 ACCEPT from IP=192.168.1.254:29245 (IP=192.168.1.254:389)
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1001 fd=10 closed
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 op=0 BIND dn="" method=128
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 op=0 RESULT tag=97 err=0 text=
Oct 16 16:15:16 pdcbc slapd[3229]: connection_input: conn=1002 deferring operation: binding
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 op=2 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 op=2 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 fd=10 ACCEPT from IP=127.0.0.1:25836 (IP=127.0.0.1:389)
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=0 BIND dn="cn=root,dc=bcity,dc=local" method=128
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=0 BIND dn="cn=root,dc=bcity,dc=local" mech=SIMPLE ssf=0
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=0 RESULT tag=97 err=0 text=
Oct 16 16:15:16 pdcbc slapd[3229]: connection_input: conn=1003 deferring operation: binding
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=top)(uid=admin))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=1 SRCH attr=host authorizedService shadowExpire shadowFlag shadowInactive shadowLastChange shadowMax shadowMin shadowWarning uidNumber
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=2 BIND anonymous mech=implicit ssf=0
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=2 BIND dn="uid=admin,ou=users,dc=bcity,dc=local" method=128
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=2 RESULT tag=97 err=49 text=
Oct 16 16:15:16 pdcbc slapd[3229]: connection_input: conn=1003 deferring operation: binding
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=3 BIND dn="cn=root,dc=bcity,dc=local" method=128
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=3 BIND dn="cn=root,dc=bcity,dc=local" mech=SIMPLE ssf=0
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1003 op=3 RESULT tag=97 err=0 text=
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 op=3 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 op=3 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 16:15:16 pdcbc slapd[3229]: conn=1002 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 16:15:35 pdcbc slapd[3229]: conn=1002 fd=16 closed (connection lost)
Oct 16 16:15:35 pdcbc slapd[3229]: conn=1003 fd=10 closed (connection lost)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Авторизация pam_ldap"  +/
Сообщение от Z0termaNN (ok) on 16-Окт-12, 12:23 
еще раз посмотрел. проблемы при аутентификации admin. он не аутентифицируется даже
из командной строки ldapsearch. для начала пароль на admin лучше сменить и
попробовать ldapsearch.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 16-Окт-12, 13:02 
> еще раз посмотрел. проблемы при аутентификации admin. он не аутентифицируется даже
> из командной строки ldapsearch. для начала пароль на admin лучше сменить и
> попробовать ldapsearch.

Поменял пароль на admin через LDAP Admin, после этого ldapsearch стал получать инфу


# ldapsearch -H ldap://localhost:389 -x -W -b "ou=users,dc=bcity,dc=local" -D "uid=admin,ou=users,dc=bcity,dc=local" "objectclass=*" uid userPassword
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <ou=users,dc=bcity,dc=local> with scope subtree
# filter: objectclass=*
# requesting: uid userPassword
#

# search result
search: 2
result: 32 No such object

# numResponses: 1

при этом в логах пишет следующее:

 
Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 fd=18 ACCEPT from IP=127.0.0.1:12366 (IP=127.0.0.1:389)
Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=0 BIND dn="uid=admin,ou=users,dc=bcity,dc=local" method=128
Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=0 BIND dn="uid=admin,ou=users,dc=bcity,dc=local" mech=SIMPLE ssf=0
Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=0 RESULT tag=97 err=0 text=
Oct 16 18:01:53 pdcbc slapd[2080]: connection_input: conn=1019 deferring operation: binding
Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=2 deref=0 filter="(objectClass=*)"
Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=1 SRCH attr=uid userPassword
Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=1 SEARCH RESULT tag=101 err=32 nentries=0 text=
Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=2 UNBIND
Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 fd=18 closed

А вот авторизация по фтп все равно не проходит. при этом в лог пишет вот что:

 
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 fd=10 ACCEPT from IP=192.168.1.254:42110 (IP=192.168.1.254:389)
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=0 BIND dn="" method=128
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=0 RESULT tag=97 err=0 text=
Oct 16 18:04:55 pdcbc slapd[2200]: connection_input: conn=1000 deferring operation: binding
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=2 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10001))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=3 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=3 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=4 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10001))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=4 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=4 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=5 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=6 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(|(memberUid=admin)(uniqueMember=uid=admin,ou=users,dc=bcity,dc=local)))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=6 SRCH attr=gidNumber
Oct 16 18:04:55 pdcbc slapd[2200]: <= bdb_equality_candidates: (memberUid) not indexed
Oct 16 18:04:55 pdcbc slapd[2200]: <= bdb_equality_candidates: (uniqueMember) not indexed
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=6 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=7 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(uniqueMember=cn=admins,ou=groups,dc=bcity,dc=local))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=7 SRCH attr=gidNumber
Oct 16 18:04:55 pdcbc slapd[2200]: <= bdb_equality_candidates: (uniqueMember) not indexed
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=7 SEARCH RESULT tag=101 err=0 nentries=0 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=8 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10001))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=8 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=8 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=9 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=10000))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=9 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=9 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 op=10 UNBIND
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1000 fd=10 closed
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 fd=16 ACCEPT from IP=192.168.1.254:15980 (IP=192.168.1.254:389)
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 op=0 BIND dn="" method=128
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 op=0 RESULT tag=97 err=0 text=
Oct 16 18:04:55 pdcbc slapd[2200]: connection_input: conn=1001 deferring operation: binding
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 op=2 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 op=2 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 fd=10 ACCEPT from IP=127.0.0.1:54134 (IP=127.0.0.1:389)
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=0 BIND dn="cn=root,dc=bcity,dc=local" method=128
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=0 BIND dn="cn=root,dc=bcity,dc=local" mech=SIMPLE ssf=0
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=0 RESULT tag=97 err=0 text=
Oct 16 18:04:55 pdcbc slapd[2200]: connection_input: conn=1002 deferring operation: binding
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=top)(uid=admin))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=1 SRCH attr=host authorizedService shadowExpire shadowFlag shadowInactive shadowLastChange shadowMax shadowMin shadowWarning uidNumber
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=2 BIND anonymous mech=implicit ssf=0
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=2 BIND dn="uid=admin,ou=users,dc=bcity,dc=local" method=128
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=2 BIND dn="uid=admin,ou=users,dc=bcity,dc=local" mech=SIMPLE ssf=0
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=2 RESULT tag=97 err=0 text=
Oct 16 18:04:55 pdcbc slapd[2200]: connection_input: conn=1002 deferring operation: binding
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=3 BIND anonymous mech=implicit ssf=0
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=3 BIND dn="cn=root,dc=bcity,dc=local" method=128
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=3 BIND dn="cn=root,dc=bcity,dc=local" mech=SIMPLE ssf=0
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1002 op=3 RESULT tag=97 err=0 text=
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 op=3 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 op=3 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire loginClass
Oct 16 18:04:55 pdcbc slapd[2200]: conn=1001 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Oct 16 18:05:00 pdcbc slapd[2200]: conn=1003 fd=17 ACCEPT from IP=192.168.1.254:38360 (IP=192.168.1.254:389)
Oct 16 18:05:00 pdcbc slapd[2200]: conn=1003 op=0 BIND dn="" method=128
Oct 16 18:05:00 pdcbc slapd[2200]: conn=1003 op=0 RESULT tag=97 err=0 text=
Oct 16 18:05:00 pdcbc slapd[2200]: connection_input: conn=1003 deferring operation: binding
Oct 16 18:05:00 pdcbc slapd[2200]: conn=1003 op=1 SRCH base="ou=users,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=root))"
Oct 16 18:05:00 pdcbc slapd[2200]: conn=1003 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Oct 16 18:05:00 pdcbc slapd[2200]: conn=1003 op=2 SRCH base="ou=groups,dc=bcity,dc=local" scope=1 deref=0 filter="(&(objectClass=posixGroup)(memberUid=root))"
Oct 16 18:05:00 pdcbc slapd[2200]: conn=1003 op=2 SRCH attr=gidNumber
Oct 16 18:05:00 pdcbc slapd[2200]: <= bdb_equality_candidates: (memberUid) not indexed
Oct 16 18:05:00 pdcbc slapd[2200]: conn=1003 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Oct 16 18:05:00 pdcbc slapd[2200]: conn=1003 fd=17 closed (connection lost)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 16-Окт-12, 13:24 
При этом логин на этих аккаунтах заработал, а вот ftp так и не работает. Хотя в pam.d и для ftp и для login прописано одинаково.
Уже даже и не знаю что думать, нужно именно ftp. Подскажите где еще посмотреть и чего проверить можно :)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Авторизация pam_ldap"  +/
Сообщение от Z0termaNN (ok) on 16-Окт-12, 16:40 
поставил уже ради интереса proftpd. у меня авторизация по pam заработала в такой
конфигурации:


PersistentPasswd                off
AuthPAM                         on
AuthPAMConfig                   proftpd
AuthOrder                       mod_auth_pam.c* mod_auth_unix.c

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 17-Окт-12, 09:00 
>[оверквотинг удален]
> PersistentPasswd            
>     off
> AuthPAM            
>            
>   on
> AuthPAMConfig            
>        proftpd
> AuthOrder            
>            
> mod_auth_pam.c* mod_auth_unix.c

А у вас
DefaultRoot /samba/www/ wwwuser
работает на ldap логинах? У меня почему то нет, при входе забрасывает в домашний каталог. Как будто вообще не учитывает эту директиву. С правами файловой сисмтему все нормально, на каталог выставленны правильно.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 17-Окт-12, 09:24 
> А у вас
> DefaultRoot /samba/www/ wwwuser
> работает на ldap логинах? У меня почему то нет, при входе забрасывает
> в домашний каталог. Как будто вообще не учитывает эту директиву. С
> правами файловой сисмтему все нормально, на каталог выставленны правильно.

Разобрался с этим вопросом. Просто там в DefaultRoot не пользователь указывается а группа. Для юникс ползователей по умолчанию создается одноименная группа, поэтому все работает. А тут надо создавать в ручную. Так что с этим понятно.


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

12. "Авторизация pam_ldap"  +/
Сообщение от Z0termaNN (ok) on 16-Окт-12, 15:39 
>[оверквотинг удален]
> Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=0 RESULT tag=97 err=0 text=
> Oct 16 18:01:53 pdcbc slapd[2080]: connection_input: conn=1019 deferring operation: binding
> Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=1 SRCH base="ou=users,dc=bcity,dc=local"
> scope=2 deref=0 filter="(objectClass=*)"
> Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=1 SRCH attr=uid userPassword
> Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=1 SEARCH RESULT tag=101 err=32 nentries=0
> text=
> Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 op=2 UNBIND
> Oct 16 18:01:53 pdcbc slapd[2080]: conn=1019 fd=18 closed
>

в этом случае ошибка это нормально - admin в соответствии с acl не имеет доступа
к userpassword.

теперь по делу. в proftpd.conf прописано что-то типа

AuthPAMConfig                   proftpd
AuthOrder                       mod_auth_pam.c* mod_auth_unix.c

?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 17-Окт-12, 04:56 
>[оверквотинг удален]
> в этом случае ошибка это нормально - admin в соответствии с acl
> не имеет доступа
> к userpassword.
> теперь по делу. в proftpd.conf прописано что-то типа
> AuthPAMConfig            
>        proftpd
> AuthOrder            
>            
> mod_auth_pam.c* mod_auth_unix.c
> ?

Все заработало. Спасибо большое всем кто помогал. Еще один ньюанс, ну по крайней мере у меня так. ftp доступ не работает, пока у пользователя стоит
loginShell /usr/bin/nologin
как только ставишь какой то шел, то начинает работать.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Авторизация pam_ldap"  +/
Сообщение от Z0termaNN (ok) on 17-Окт-12, 10:07 
>[оверквотинг удален]
>>        proftpd
>> AuthOrder
>>
>> mod_auth_pam.c* mod_auth_unix.c
>> ?
> Все заработало. Спасибо большое всем кто помогал. Еще один ньюанс, ну по
> крайней мере у меня так. ftp доступ не работает, пока у
> пользователя стоит
> loginShell /usr/bin/nologin
> как только ставишь какой то шел, то начинает работать.

либо директива RequireValidShell в /etc/proftpd.conf,
либо где-то прописано в pam

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 17-Окт-12, 06:31 
И еще вот что обнаружил
Авторизация не проходит не по логину, не по фтп если логин создан smbpasswd -a. Хотя в базе все нормально, показывается что пароль SSHA, но если я в базе меняю пароль через LDAP admin так же кодируя его по SSHA то все начинает работать.
Что то не так со скриптами ldapcripts? куда можно посмотреть? что проверить?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 17-Окт-12, 10:39 
> И еще вот что обнаружил
> Авторизация не проходит не по логину, не по фтп если логин создан
> smbpasswd -a. Хотя в базе все нормально, показывается что пароль SSHA,
> но если я в базе меняю пароль через LDAP admin так
> же кодируя его по SSHA то все начинает работать.
> Что то не так со скриптами ldapcripts? куда можно посмотреть? что проверить?

А вот авторизация через самбу и доступ к шарам работает нормально без всякой замены пароля через LDAP Admin. Заметил  что строка с паролем, которую генерирует smbpasswd отличается от  той которую генерирует LDAP Admin. Тем неменее авторизация в домене и доступ к шарам проходит нормально как на сгенерированом изначально пароле, так и после обновления его через LDAP Admin. Что как то странно.
Может кто нибудь пояснить ситуацию и как победить? Не очень охото каждого пользователя через LDAP admin править.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Авторизация pam_ldap"  +/
Сообщение от KomaLex email(ok) on 17-Окт-12, 12:37 
>[оверквотинг удален]
>> же кодируя его по SSHA то все начинает работать.
>> Что то не так со скриптами ldapcripts? куда можно посмотреть? что проверить?
> А вот авторизация через самбу и доступ к шарам работает нормально без
> всякой замены пароля через LDAP Admin. Заметил  что строка с
> паролем, которую генерирует smbpasswd отличается от  той которую генерирует LDAP
> Admin. Тем неменее авторизация в домене и доступ к шарам проходит
> нормально как на сгенерированом изначально пароле, так и после обновления его
> через LDAP Admin. Что как то странно.
> Может кто нибудь пояснить ситуацию и как победить? Не очень охото каждого
> пользователя через LDAP admin править.

Такая ситуация независимо от мтодов шифрования. Пробовал натроить и лдапсервер и клиента на crypt и на md5 и на ssha. Ситуация везде одинаковая. Пока не перепишешь пароль в базе через лдап админ, используя тот же метод шифрования авторизация через pam проходить не хочет. Подскажите куда копать.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Авторизация pam_ldap"  +/
Сообщение от Z0termaNN (ok) on 19-Окт-12, 13:13 
> И еще вот что обнаружил
> Авторизация не проходит не по логину, не по фтп если логин создан
> smbpasswd -a. Хотя в базе все нормально, показывается что пароль SSHA,
> но если я в базе меняю пароль через LDAP admin так
> же кодируя его по SSHA то все начинает работать.
> Что то не так со скриптами ldapcripts? куда можно посмотреть? что проверить?

я так понимаю, что пароли просто в разном формате. кроме того - я не знаю salt в самбовском
пароле есть или нет.


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру