Samba PDC LDAP und Systemanmeldung mit LDAP Accounts

[deblxr]

Hallo

Ich hab mir ein SAMBA mit LDAP backend aufgesetzt. Mittels smbldap-useradd lege ich meine Benutzer an. Mit Hilfe von getent passwd habe ich dass dann überprüft. Der Benutzer und sein Homeverzeichniss wurde angelegt. Nun möchte ich mich mit meinem Benutzer auch lokal anmelden, was aber leider nicht funktioniert. Als Fehlermeldung in /var/log/auth.log erhalte ich folgendes:

Aug 22 10:57:15 server1 slapd[31216]: OTP unavailable because can't read/write key database /etc/opiekeys: No such file or directory
Aug 22 10:57:15 server1 sshd[32026]: Server listening on 0.0.0.0 port 22.
Aug 22 11:02:58 server1 login[13019]: pam_ldap: error trying to bind as user "uid=testuser,ou=Users,dc=...,dc=...,dc=..." (Invalid credentials)
Aug 22 11:02:58 server1 login[13019]: (pam_unix) check pass; user unknown
Aug 22 11:02:58 server1 login[13019]: (pam_unix) authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost=
Aug 22 11:03:00 server1 login[13019]: FAILED LOGIN (1) on `tty1' FOR `testuser', Authentication service cannot retrieve authentication info.

Meine PAM files haben folgenden Eintrag:

/etc/pam.d/common-account
account sufficient pam_ldap.so
account required pam_unix_acct.so

/etc/pam.d/common-auth
auth sufficient pam_ldap.so
auth required pam_unix_auth.so nullok_secure try_first_pass

/etc/pam.d/common-password
password sufficient pam_ldap.so
password required pam_unix_passwd.so shadow obscure min=4 max=8 md5 use_first_pass

/etc/pam.d/common-session
session required pam_unix.so

Dabei muss ich aber sagen, dass ich hier schon jenstes ausprobiert habe. Hat aber alles nichts gebracht.

Meine nsswitch.conf hat folgenden Eintrag:
passwd: compat ldap
group: compat ldap
shadow: compat ldap

Die libnss-ldap habe ich wie folgt installiert: (Base stimmt natürlich)
aptitude install libnss-ldap

LDAP Server host: 127.0.0.1
The distinguished name of the search base: dc=...,dc=..,dc=...
LDAP version to use: 3
Datenbank benötigt Login: Nein
Konfiguration nur für den Eigentümer les-/schreibbar machen: Ja

Die libpam-ldap so: (account stimmt - ist nur wie oben wegretuschiert)
aptitude install libpam-ldap

Make local root Database admin: Ja
Does the LDAP database require login: Nein
Root login account: cn=root,dc=...,dc=...,dc=...
Root login password: "das root passwort"
Local crypt to use when changing passwords: crypt

in der libnss-ldap.conf habe ich noch folgendes ergänztdc's wurden wieder wegretuschiert)
rootbinddn cn=root,dc=...,dc=...,dc=...
nss_base_passwd ou=Users,dc=...,dc=...,dc=...?one
nss_base_shadow ou=Users,dc=...,dc=...,dc=...?one
nss_base_group ou=Groups,dc=...,dc=...,dc=...?one
pam_password md5
ssl no

Ich weiss nicht mehr was ich ändern soll. Hat vielleicht jemand einen Rat, bzw kann jemand bei dem es funktioniert seine pam Einträge und Einstellungen für die pam_ldap.conf posten?

Gruss

joël

[mamue]

Ein paar Dinge fallen mir ein:
1.: Du könntest den loglevel in der slapd.conf höher setzen (Es gilt nicht, je höher, desto mehr). 256 könnte ein guter wert sein, vielleicht auch 1. In der /var/log/messages sollten dann bei ANmeldeversuchen die Suchfilter erscheinen.
2.: In der nsswitch.conf statt
passwd: compat ldap
mal
passwd: files ldap
einsetzen. Das aber wird vermutlich nicht die Fehlerursache sein.
3.: Welche Distribution verwendest Du. Bei der Konfiguration pam unterscheiden sich einige von anderen ;-)

mamue

[poweradmin]

hey,

vielleicht wäre es nützlich wenn du uns noche deine slapd.conf/ldap.conf postest!

gruß pierre

[deblxr]

Da Problem wurde gelöst. Der Fehler bestand darinn, dass ich bei den Zugriffsangaben einen Kommentar dazwischen hatte. Z.b.

access to *
# by dn="cn=admin,dc=server1,dc=...,dc=..." write
by * read

Die obige Konstruktion ist unzulässig.