PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Redhat & Apple - LDAP/Kerberos & passwd



nul
22.04.11, 15:18
Ich denke ich habe hier ein etwas exotisches Problem, welhalb ich im Internet auch nirgendwo Hilfe finde. Nach zwei/drei Tagen bin ich endlich soweit, dass ich frage (Die Nerven sind schon recht angespannt).

Also, es geht prinzipiell darum, dass ich hier vor einem System von Redhat sitze, das sich mittels Kerberos & LDAP gegenüber einem Apple-Server authentifiziert. Das ganz funktioniert soweit auch schon mal ganz schön. Die Benutzer können sich anmelden, die Home-Verzeichnisse werden angelegt usw.

Nun zum Problem, und zwar können die Benutzer nicht ihr Passwort setzen, was nicht gerade gut ist. Wenn jetzt ein Benutzer sein Passwort eingibt, sieht das ganze dann so aus:

Changing password for user _______.
Kerberos 5 Password:
New password:
Retype new password:
passwd: Authentication token manipulation error
Kerberos & LDAP scheinen richtig konfiguriert zu sein.
Von Kerberos erhalte ich verschiedene Tickets, je nachdem welche ich gerade brauche.
Und bei LDAP funktioniert ldapsearch auch ohne Probleme (dabei erhalte ich dann auch gleich ein Ticket für den LDAP-Service).

Also denke ich, dass es irgendwo ein Problem bei der Konfiguration von PAM gibt.
Bezüglich des Passworts sieht das ganze so aus:


password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_krb5.so use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so

Nun, da ich in allen 4 Themen (Apple, LDAP, Kerberos & PAM) ziemlich neu bin, hoffe ich da auf eure Hilfe.

Danke im Voraus ...
nul

tr1n
09.05.11, 13:55
Hallo,

zum PAM kann ich dir leider auch nichts sagen.

Aber ich denke mal, dass dein binddn keine Schreibrechte auf die Passwörter der User-Objekte hat. Da würde ich mal reingucken, notfalls musst du dem binddn die Möglichkeit geben, die Objekte beschreiben zu lassen. das kannst du ja mal Testweise machen, um den Fehler einzugrenzen.

Ob Kerberos da mit reinspielt, kann ich dir auch nicht sagen, aber eigentlich verwendet man ja für die Authentifizierung keytabs von einem anderen Account. Das heißt, wenn der BindDn immernoch auf den Fehler läuft, zieh dir mal nen Admin-Ticket und gucke mal dann, ob es wie gewünscht läuft.

Es müsste allerdings auch reintheoretisch möglich sein, dass über ein Admin-Konto im LDAP Regeln zu lassen. Wobei das natürlich mit vorsicht zu genießen ist.

Ich mache auch gerade eine zentrale Benutzerverwaltung, allerdings über das AD, weswegen meine Ratschläge vielleicht nicht 100%ig übertragbar sind.

Viele Grüße!