Hallo zusammen,

ich habe mich kürzlich mit CentOS beschäftigt und wollte einen LDAP-Server einrichten. Um das Ganze etwas leichter in der Verwaltung zu gestalten, wollten ich phpldapadmin nutzen.

Ich habe folgende Tutorien für die Installation genutzt:


ldap:

http://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=1

phpldapadmin:

http://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=7


Für PHP und den Webserver habe ich die Tutorials die im phpldapadmin-Tutorial angegeben sind genutzt.


Das Problem ist, ich kann mich nicht in phpldapadmin einloggen. (cn=Manager,dc=my-domain,dc=de)

Die Ausgabe ist schlichtweg "Falscher Nutzername oder Passwort" Ich habe aber sich ein Passwort für den Nutzer gesetzt und auch das richtige verwendet.


Hat jemand eine Idee wo der Fehler liegen bzw. wo ich suchen könnte?

MfG
Twinhand

Hallo,
dreh mal das logging runter auf 512 oder 256.

schau mal ins log von slapd. er sollte entsprechend meckern was nicht passt.
du solltest auch mal einen dump mit slapcat machen.

im dump kannst du nachsehen ob du überhaupt die korrekten Einträge drin hast.
manchmal lässt slapd Fehlermeldungen einfach fallen. das bringt dann nette Verwirrungen.

Sven

Hallo, Danke für deine Antwort.

Beim ausführen von slapcat bekomme ich folgenden Fehler:

56041578 The first database does not allow slapcat; using the first available one (2)



Ich habe eine wenig gesucht und bin dann auf diese Forendisskusion gestoßen:

https://github.com/camptocamp/puppet-openldap/issues/36


Diese verweißt auf einen Fix:

https://github.com/camptocamp/puppet-openldap/commit/6a432e3b794303ff8da5d2dd57c3c1ef3c702e91

Leider fehlt es an Beschreibung, wie denn nun dieser Patch installiert werden soll.

Kann mir jemand sagen, wie das funktioniert, bzw. wo der Fehler vielleicht nocht liegen könnte?


Ich danke im voraus.


MfG
Twinhand

Update:

Dump funktioniert auch ohne Patch. Kann keine Unstimmigkeiten feststellen:



dn: dc=my-domain,dc=de
objectClass: top
objectClass: dcObject
objectClass: organization
o: my-domain
structuralObjectClass: organization
dc: my-domain
entryUUID: 224f7404-f285-1034-9ba5-e517bf4d95db
creatorsName: cn=Manager,dc=my-domain,dc=de
createTimestamp: 20150918191348Z
entryCSN: 20150918191348.415860Z#000000#000#000000
modifiersName: cn=Manager,dc=my-domain,dc=de
modifyTimestamp: 20150918191348Z

dn: cn=Manager,dc=my-domain,dc=de
objectClass: organizationalRole
cn: Manager
description: Directory Manager
structuralObjectClass: organizationalRole
entryUUID: 22558b78-f285-1034-9ba6-e517bf4d95db
creatorsName: cn=Manager,dc=my-domain,dc=de
createTimestamp: 20150918191348Z
entryCSN: 20150918191348.455781Z#000000#000#000000
modifiersName: cn=Manager,dc=my-domain,dc=de
modifyTimestamp: 20150918191348Z

dn: ou=People,dc=my-domain,dc=de
objectClass: organizationalUnit
ou: People
structuralObjectClass: organizationalUnit
entryUUID: 2259a154-f285-1034-9ba7-e517bf4d95db
creatorsName: cn=Manager,dc=my-domain,dc=de
createTimestamp: 20150918191348Z
entryCSN: 20150918191348.482556Z#000000#000#000000
modifiersName: cn=Manager,dc=my-domain,dc=de
modifyTimestamp: 20150918191348Z

dn: ou=Group,dc=my-domain,dc=de
objectClass: organizationalUnit
ou: Group
structuralObjectClass: organizationalUnit
entryUUID: 225ff450-f285-1034-9ba8-e517bf4d95db
creatorsName: cn=Manager,dc=my-domain,dc=de
createTimestamp: 20150918191348Z
entryCSN: 20150918191348.524001Z#000000#000#000000
modifiersName: cn=Manager,dc=my-domain,dc=de
modifyTimestamp: 20150918191348Z


Edit 2:

Bei dem Versuch einem neuen Nutzer names atest ein Passwort zuzuweisen um mit diesem zu versuchen sich in phpldapadmin einzuloggen, passiert folgendes:


ldappasswd atest


SASL/GSS-SPNEGO authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (SPNEGO cannot find mechanisms to negotiate)

Immer dieses LDAP.

bin langsam echt ratlos wo das Problem liegt. In den Log-Dateien steht nichts was mir weiterhilft (außerdem sind die verfügbaren Log-Dateien im vergleich zu Debian/Ubuntu ähnlichen Systemen für mich sehr gewöhnungsbdürftig.

Um das Problem nicht direkt bei phpldapadmin zu suchen sondern bei der Datenbank selbst habe ich einen Nutzer namens cent angelegt, dieser ist offensicherlich auch erstellt worden. Um keine Probleme durch falsche Paswörter zu verursachen, ist das Passwort aller meiner Testnutzer und des Managers "passwort.


Ausgabe von ldapsearch -x -b "dc=my-domain,dc=de" -s sub "objectclass=*"

################################################## #############################

# extended LDIF
#
# LDAPv3
# base <dc=my-domain,dc=de> with scope subtree
# filter: objectclass=*
# requesting: ALL
#

# mydomain.de
dn: dc=dc=my-domain,dc=de
objectClass: top
objectClass: dcObject
objectClass: organization
o: my-domain
dc: my-domain

# Manager, mydomain.de
dn: cn=Manager,dc=my-domain,dc=de
objectClass: organizationalRole
cn: Manager
description: Directory Manager

# People,mydomain.de
dn: ou=People,dc=my-domain,dc=de
objectClass: organizationalUnit
ou: People

# Group, mydomain.de
dn: ou=Group,dc=my-domain,dc=de
objectClass: organizationalUnit
ou: Group

# atest, Group, mydomain.de
dn: cn=atest,ou=Group,dc=my-domain,dc=de
cn: atest
objectClass: top
objectClass: posixGroup
gidNumber: 10000

# atest, People, mydomain.de
dn: uid=atest,ou=People,dc=my-domain,dc=de
cn: admin test
givenName: admin
sn: test
uid: atest
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/test
mail: jsmith@my-domain.de
objectClass: top
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
loginShell: /bin/bash

# cent, People, mydomain.de
dn: uid=cent,ou=People,dc=my-domain,dc=de
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: Cent
sn: Linux
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/cent
uid: cent

# cent, Group, mydomain.de
dn: cn=cent,ou=Group,dc=my-domain,dc=de
objectClass: posixGroup
cn: Cent
gidNumber: 1001
memberUid: cent
################################################## #############

Der Nutzer ist also offentsichlicht vorhanden. Ich habe auch versucht die Authentifizierung über LDAP zu aktivieren, falls dies nicht ehh schon geschehen ist.

Befehl:

################################################## ####
authconfig --enableldap --enableldapauth --ldapserver=127.0.0.1 --ldapbasedn="dc=my-domain,dc=de" --enablemkhomedir --update
################################################## ########

Das ganze hiflt auch nichts.

Ist es ein Problem, das mein Apache-Server lediglich "localhost" als Domain hat?

Hat jemand eine Ahnung wo der Fehler liegen könnte, ich bin echt ratlos.


Ich danke im voraus für die Hilfe.


MfG
Twinhand

Edit* Probleme nslcd:

systemctl status nslcd.service
nslcd.service - Naming services LDAP client daemon.
Loaded: loaded (/usr/lib/systemd/system/nslcd.service; disabled)
Active: failed (Result: exit-code) since Mon 2015-09-28 18:33:44 CEST; 22s ago
Process: 18263 ExecStart=/usr/sbin/nslcd (code=exited, status=1/FAILURE)