Hallo zusammen.
Ich habe mehrere Linuxrechner, die seine Anmeldeinformationen von einer W2k3 Domäne beziehen.
Das funktioniert mit debian "etch" auch noch wunderbar. Benutzt man die gleiche Konfiguration bei debian "lenny", funktioniert es nicht mehr ganz.
Hier die Konfigurationsdateien, wahrscheinlich aber nicht relevant für das Problem:
Code:# /etc/nsswitch.conf passwd: compat ldap group: compat ldap shadow: compat ldap hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: files automount: ldap filesCode:# /etc/libnss-ldap.conf @(#)$Id: ldap.conf,v 2.47 2006/05/15 08:13:44 lukeh Exp $ base dc=example,dc=net ldap_version 3 binddn cn=explorer,dc=example,dc=net bindpw geheim nss_base_passwd ou=Intern,dc=example,dc=net?sub nss_base_shadow ou=Intern,dc=example,dc=net?sub nss_base_group ou=Intern,dc=example,dc=net?sub nss_map_objectclass posixAccount user nss_map_objectclass shadowAccount user nss_map_attribute uid sAMAccountName nss_map_attribute homeDirectory unixHomeDirectory nss_map_attribute shadowLastChange pwdLastSet nss_map_objectclass posixGroup group nss_map_attribute uniqueMember member pam_login_attribute sAMAccountName pam_filter objectclass=User pam_password ad nss_map_attribute gecos name nss_map_attribute cn sAMAccountName nss_initgroups_ignoreusers rootDas Problem äußert sich wie folgt:Code:# /etc/pam.d/common-account account sufficient pam_ldap.so account required pam_unix.so # /etc/pam.d/common-auth auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u debug auth required pam_unix.so nullok_secure try_first_pass
Meldet man sich am System z.B. via SSH an, wird folgendes nach /var/log/auth.log geloggt:
Irgendwie hat es mit der Gruppenauflösung via LDAP zu tun. Wenn ich mit getent group mir die Gruppen hole (was auch funktioniert!), dann in an die lokale /etc/group anfüge und ldap für group aus der nsswitch.conf nehme, funktioniert alles.Code:Feb 1 08:54:52 rechnername sshd[5137]: (pam_krb5): username: pam_sm_authenticate: exit (success) Feb 1 08:54:52 rechnername sshd[5137]: Accepted password for username from 192.168.1.42 port 3208 ssh2 Feb 1 08:54:52 rechnername sshd[5137]: (pam_krb5): username: pam_sm_setcred: entry (0x2) Feb 1 08:54:52 rechnername sshd[5137]: (pam_krb5): username: initializing ticket cache /tmp/krb5cc_543 Feb 1 08:54:52 rechnername sshd[5137]: (pam_krb5): username: pam_sm_setcred: exit (success) Feb 1 08:54:52 rechnername sshd[5137]: pam_unix(sshd:session): session opened for user username by (uid=0) Feb 1 08:54:52 rechnername sshd[5144]: nss_ldap: reconnecting to LDAP server... Feb 1 08:54:52 rechnername sshd[5144]: nss_ldap: reconnected to LDAP server ldap://example.net/ after 1 attempt Feb 1 08:54:52 rechnername sshd[5144]: nss_ldap: reconnecting to LDAP server... Feb 1 08:54:52 rechnername sshd[5144]: nss_ldap: reconnected to LDAP server ldap://example.net/ after 1 attempt Feb 1 08:56:11 rechnername sshd[5144]: nss_ldap: could not get LDAP result - Can't contact LDAP server
Für mich riecht das verdächtig nach Bug, aber welches Modul betrifft das und was wurde daran seit etch verändert?
Irgendwelche Ideen oder doch irgendeinen Konfigurationsfehler entdeckt, der vorher vielleicht ignoriert wurde?
NACHTRAG:
Reproduzieren kann man den Hänger mit id -G username, su - username und wie bereits oben geschrieben einer SSH-Sitzung, scheint also genereller Natur zu sein. Das Problem tritt nicht auf bei getent group.
Gruß
L00NIX
Zitieren
Zitat von MiGo
Lesezeichen