PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Pam_ldap



Nimda.E
06.12.16, 10:09
Hallo,

bin neu hier und freue mich bei Euch sein zu dürfen. Habe da allerdings schom meine erste Frage :rolleyes:: Meinen Server habe ich via PAM_LDAP an meinen LDAP angebunden. Die Verbindung zum LDAP steht. Wenn sich jetzt ein Nutzer versucht sich an meinem Server anzumelden bekommt er keinen Zugriff. Wenn ich allerdings einen gleichnamigen lokalen Nutzer erstelle ohne für diesen ein Passwort zu setzen, kann er sich mit dem LDAP PW einloggen. Sitze an dem Problem schon seit 2 Tagen und komme einfach nicht weiter.

Im /var/log/secure ist dann folgendes zu sehen:


Invalid user xxx from 10.242.13.39
Dec 6 09:52:02 b-nonn-cnotool-prod-dc-1 sshd[1952]: input_userauth_request: invalid user xxx
Dec 6 09:52:10 b-nonn-cnotool-prod-dc-1 sshd[1951]: pam_unix(sshd:auth): check pass; user unknown
Dec 6 09:52:10 b-nonn-cnotool-prod-dc-1 sshd[1951]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.242.13.39
Dec 6 09:52:11 b-nonn-cnotool-prod-dc-1 sshd[1951]: pam_ldap: error trying to bind as user "ngumID=xxx2,ou=users,ou=common,o=kd" (Invalid credentials)
Dec 6 09:52:12 b-nonn-cnotool-prod-dc-1 sshd[1951]: Failed password for invalid user xxx from 10.242.13.39 port 62040 ssh2


/etc/pam.d/sshd


#%PAM-1.0
auth requisite pam_nologin.so
auth sufficient pam_unix.so
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account sufficient pam_ldap.so
account required pam_permit.so

password sufficient pam_unix.so nullok md5 shadow use_authtok
password sufficient pam_ldap.so use_authtok try_first_pass
password required pam_deny.so

session optional pam_mkhomedir.so skel=/etc/skel umask=0022
session required pam_unix.so
session optional pam_ldap.so try_first_pass



Ich habe echt keinen Plan mehr wie ich weiterkommen soll und würde mich freuen wenn ihr mir helfen könntet.

Vielen Dank!

Beste Grüße,
Nimda.E

marce
06.12.16, 10:59
Ich hab LDAP nicht im Einsatz, aber kennst Du schon
https://www.digitalocean.com/community/tutorials/how-to-authenticate-client-computers-using-ldap-on-an-ubuntu-12-04-vps
http://www.webmasterpro.de/server/article/ldap-pam-authentifizierung.html
https://eng.ucmerced.edu/soe/computing/services/ssh-based-service/ldap-ssh-access

Grob überflogen könnte
auth sufficient pam_unix.so ein Problem darstellen. Parallel zu anderen notwendigen Konfig-Arbeiten.

Aber wie gesagt, so rein in's Blaue geraten...

Nimda.E
06.12.16, 11:23
Ja, die habe ich schon durch. Alles genau nach Anleitung. Verstehe nur nicht warum es funktioniert wenn ich einen lokalen Nutzer anlege der denselben Namen hat wie der LDAP Nutzer und dieser sich dann auch mit dem LDAP PW anmelden kann :(

Wieso könnte pam_unix ein Problem darstellen? Ist doch sufficient?

Gruß

drcux
06.12.16, 17:12
Arbeitet PAM nicht nach Reihenfolge ab, also nimmt es erst pam_unix.so und dann pam_ldap.so? Ich würde es also umdrehen und auch ein "required" für unix.so setzen:



auth sufficient pam_ldap.so use_first_pass
auth required pam_unix.so


Bei deiner Reihenfolge würde er immer erst pam_unix.so versuchen, was auch erklären würde, warum er zwingend einen Unixnutzer haben will...

marce
06.12.16, 17:29
Prüf alle Deine Konfigs nochmals - und poste auch gerne alle hier. Zumindest nach den Links, die ich so spontan gefunden habe sieht das dort doch ein wenig anders aus als bei Dir...

BetterWorld
06.12.16, 18:01
account required pam_unix.so
account sufficient pam_ldap.so
Also ein Unixaccount muss sein, und ein LDAPaccount kann sein?

marce
06.12.16, 18:27
*argl* Mist, in #2 die falsche Zeile gecopy-pasted... Ich werd alt... Eben jene von BW meinte ich eigentlich auch....

Nimda.E
08.12.16, 13:36
Vielen Dank für deine Antwort. Habe meine Config entsprechend angepasst. Leider besteht das Problem immer noch :(

Hier meine pam_ldap.conf


host ldaps.meiner.de
base ou=users,ou=common,o=local
ldap_version 3
binddn uid=ldapuser,ou=services,ou=to,o=local
bindpw secret
port 636
scope sub
pam_login_attribute uid
pam_groupdn ou=groups,ou=to,o=local
nss_map_attribute userPassword authPassword
ssl on
tls_checkpeer yes
tls_cacertfile /etc/openldap/certs/cert.pem
tls_cacertdir /etc/openldap/certs/


/etc/pam.d/sshd


#%PAM-1.0
auth optional pam_ldap.so
account optional pam_ldap.so
password optional pam_ldap.so
session optional pam_ldap.so
session optional pam_mkhomedir.so

auth required pam_sepermit.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session optional pam_keyinit.so force revoke
session include password-auth


Ist ein RHEL 6

Vielen Dank!

Beste Grüße!

marce
08.12.16, 13:47
(1) bitte [code], nicht [quote]-Tags verwenden
(2) in den ganzen Dokus finde ich auch noch andere, anzupassende Dateien