luk3
15.09.11, 08:40
Hallo zusammen,
nach fast 2 Tagen recherche und testen komme ich nun an mein Ende.
Ich habe folgende Umgebung:
Server - RHEL 6.0 als Applikationsserver und Fileserver
Server - Ubuntu 10.04 als OpenLDAP Server mit phpLDAP Admin
5 Clients - Ubuntu 10.04
Auf dem RHEL sind NFS Shares erstellt die mit den Clients gemounten werden. Dort liegen Benutzerprofile, Daten, Applicationen vom RHEL.
Auf dem Ubuntu LDAP Server ist ein OpenLDAP mit phpLDAP konfiguriert.
Auf den clients funktioniert die LDAP Authentifizierung ohne Probleme. Am RHLE leider nicht ganz so gut.
Auf dem RHEL wurde das OpenLDAP Packet nachinstalliert und mit "authconfig-tui" konfiguriert. Ich kann nun ein "ldapsearch -x" und ein "id xxx" absetzen um den user abzufragen, soweit OK.
Aber wenn ich nun ein "getent passwd" mache, werden mir nur die lokalen User angezeigt und nicht die aus dem AD, Anmeldung am System ist auch nicht möglich. Ich kann jedoch mit ACL berechtigungen für die User vergeben.
Heute habe ich noch einige anpassungen an den Dateien in /etc/pam.d/ vorgenommen.
- system-auth-ac (nach system-auth verlinkt)
auth required pam_env.so
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
#auth sufficient pam_sss.so use_first_pass
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_access.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
#account [default=bad success=ok user_unknown=ignore] pam_sss.so
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
#password sufficient pam_sss.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_oddjob_mkhomedir.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
#session optional pam_sss.so
- password-auth-ac (nach password-auth verlinkt)
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
#auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so
account required pam_access.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
#account [default=bad success=ok user_unknown=ignore] pam_sss.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
#password sufficient pam_sss.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_oddjob_mkhomedir.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
#session optional pam_sss.so
Die Anmledung über ssh funktioniert, aber am Desktop noch nicht. Es kommt die Passwort abfrage und danach will er den Desktop laden, springt dann aber wieder zur Anmeldung zurück.
Wenn ich ein "getent passwd" mache, werden mir auch nur die lokalen user angezeigt. Es sollten aber doch alle aus dem LDAP angezeigt werden, sowie beim client, oder?
Ich habe auch noch ein auszug aus der LOG von der Anmeldung (/var/log/secure)
Sep 13 12:29:30 moe-server pam: gdm-password[3526]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=tuser
Sep 13 12:29:30 moe-server pam: gdm-password[3526]: pam_unix(gdm-password:session): session opened for user tuser by (uid=0)
Sep 13 12:29:31 moe-server pam: gdm-password[3526]: pam_unix(gdm-password:session): session closed for user tuser
Ich hoffe Ihr habt noch tolle Ideen oder erfahrung die mich weiterbringen könnten!
cu luk3
nach fast 2 Tagen recherche und testen komme ich nun an mein Ende.
Ich habe folgende Umgebung:
Server - RHEL 6.0 als Applikationsserver und Fileserver
Server - Ubuntu 10.04 als OpenLDAP Server mit phpLDAP Admin
5 Clients - Ubuntu 10.04
Auf dem RHEL sind NFS Shares erstellt die mit den Clients gemounten werden. Dort liegen Benutzerprofile, Daten, Applicationen vom RHEL.
Auf dem Ubuntu LDAP Server ist ein OpenLDAP mit phpLDAP konfiguriert.
Auf den clients funktioniert die LDAP Authentifizierung ohne Probleme. Am RHLE leider nicht ganz so gut.
Auf dem RHEL wurde das OpenLDAP Packet nachinstalliert und mit "authconfig-tui" konfiguriert. Ich kann nun ein "ldapsearch -x" und ein "id xxx" absetzen um den user abzufragen, soweit OK.
Aber wenn ich nun ein "getent passwd" mache, werden mir nur die lokalen User angezeigt und nicht die aus dem AD, Anmeldung am System ist auch nicht möglich. Ich kann jedoch mit ACL berechtigungen für die User vergeben.
Heute habe ich noch einige anpassungen an den Dateien in /etc/pam.d/ vorgenommen.
- system-auth-ac (nach system-auth verlinkt)
auth required pam_env.so
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
#auth sufficient pam_sss.so use_first_pass
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_access.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
#account [default=bad success=ok user_unknown=ignore] pam_sss.so
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
#password sufficient pam_sss.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_oddjob_mkhomedir.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
#session optional pam_sss.so
- password-auth-ac (nach password-auth verlinkt)
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
#auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so
account required pam_access.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
#account [default=bad success=ok user_unknown=ignore] pam_sss.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
#password sufficient pam_sss.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_oddjob_mkhomedir.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
#session optional pam_sss.so
Die Anmledung über ssh funktioniert, aber am Desktop noch nicht. Es kommt die Passwort abfrage und danach will er den Desktop laden, springt dann aber wieder zur Anmeldung zurück.
Wenn ich ein "getent passwd" mache, werden mir auch nur die lokalen user angezeigt. Es sollten aber doch alle aus dem LDAP angezeigt werden, sowie beim client, oder?
Ich habe auch noch ein auszug aus der LOG von der Anmeldung (/var/log/secure)
Sep 13 12:29:30 moe-server pam: gdm-password[3526]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=tuser
Sep 13 12:29:30 moe-server pam: gdm-password[3526]: pam_unix(gdm-password:session): session opened for user tuser by (uid=0)
Sep 13 12:29:31 moe-server pam: gdm-password[3526]: pam_unix(gdm-password:session): session closed for user tuser
Ich hoffe Ihr habt noch tolle Ideen oder erfahrung die mich weiterbringen könnten!
cu luk3