nss_ldap

[Klein_Karlchen]

Hallo ich ärger mich seit einigen Tagen mit nss_ldap rum.
Ich nutze ein SuSE 10.1. Der Ldapserver läuft. PAM bzw. pam_unix2 ist konfiguriert wie SuSE es empfiehlt.
Bleibt noch die nsswitch.conf.
Trage ich, wie SuSE im Handbuch empfiehlt:
passwd: compat
group: compat
passwd_compat: ldap
group_compat: ldap
in die nsswitch.conf ein, passiert nichts. Wenn man ein 'getent passwd' macht, bekommt man nur die Benutzer aus der /etc/passwd angezeigt.
Trägt man in der nsswitch.conf ein
passwd: compat ldap
group: compat ldap
passwd_compat:
group_compat:
funktioniert erstmal alles. Bis zum nächsten Neustart des Systems. Da bekommt er dann das Netzwerk nicht mehr richtig hochgefahren. Den Ldap-Server anscheind auch nicht. Genaueres kann ich nicht sagen, da ein Einloggen am System nicht möglich ist. Wenn ich mich als root anmelde, bleibt er nach der Zeile " Leztes Login..." einfach hängen und kommt nicht bis zur bash durch. Wenn ich versuche mich mit einem Login vom Ldapserver anzumelden, scheitert er schon vorher.
Erst wenn ich mit einem Rettungssystem die Ldap Einträge aus der nsswitch.conf gelöscht habe, läst sich das System wieder starten.
In den Logs konnte ich bisher nichts Bedeutendes finden.
Jemand eine Idee oder Tip für mich wie ich das Problem in den Griff bekomme?

Karl

[hubrach]

Weiß nicht ob das hilft:
Bei mir läufts mit folgenden einträgen :
passwd: files ldap
shadow: files ldap
group: files ldap

[Klein_Karlchen]

Hallo
auch das hilft leider nur kurzzeitig.Beim Neustarten treten die gleichen Probleme auf.
karl

[hubrach]

Gib doch mal deine /etc/pam.d/login

[Klein_Karlchen]

#%PAM-1.0
auth required pam_securetty.so
auth include common-auth
auth required pam_nologin.so
account include common-account
password include common-password
session include common-session
session required pam_lastlog.so nowtmp
session required pam_resmgr.so
session optional pam_mail.so standard

[hubrach]

Versuchs mal damit, nur ein Versuch vielleicht bringts ja was..






auth requisite pam_unix2.so nullok use_ldap #set_secrpc
auth required pam_securetty.so
auth required pam_nologin.so
auth required pam_env.so
auth required pam_mail.so
account required pam_unix2.so use_ldap
password required pam_pwcheck.so nullok
password required pam_unix2.so nullok use_first_pass use_authtok use_ldap
session required pam_unix2.so none use_ldap
session required pam_limits.so

[Harry]

Hallo Karl,

...
Bis zum nächsten Neustart des Systems. Da bekommt er dann das Netzwerk nicht mehr richtig hochgefahren. Den Ldap-Server anscheind auch nicht. Genaueres kann ich nicht sagen, da ein Einloggen am System nicht möglich ist. Wenn ich mich als root anmelde, bleibt er nach der Zeile " Leztes Login..." einfach hängen und kommt nicht bis zur bash durch. Wenn ich versuche mich mit einem Login vom Ldapserver anzumelden, scheitert er schon vorher.
...
Jemand eine Idee oder Tip für mich wie ich das Problem in den Griff bekomme?

verstehe ich das richtig, dass der LDAP-Server nach dem Neustart _nicht_ mehr läuft, weil das Netzwerk nicht richtig konfiguriert ist?
Falls das so ist, frage mich mich, warum Du nun an der pam-/nsswitch-Konfiguration drehst, da doch die offensichtliche Ursache des Problems der nicht laufende LDAP-Server ist.

Ergo: Bereinige Deine Netzwerkkonfiguration, bringe die pam-/nsswitch-Konfiguration auf Deinen originalen Zustand und die Sache sollte rund laufen.

Harry

[ramsys]

Welche Nutzer hast du in der Passwd und welche im Ldap?
Bzw wieviele Nutzer haben die UId 0 bei dir und wo?

[Klein_Karlchen]

Also:
@ramsys: Ich habe alle Systembenutzer (die das System automatrisch für bestimmte Dienste anlegt) + root in der passwd stehn.
Im ldap stehn "nur" alle normalen User.
@harry: Das Netzwerk funktioniert solange ohne Probleme (auch der Ldapserver startet) bis ich die oben beschriebe Änderung in der nsswitch.conf vornehme. Das Problem scheint mir zu sein, das irgend ein Prozess ziemlich früh im Startvorgang irgendwas mit hilfe der nsswitch.conf wissen will, diese das nss_ldap modul fragt, der Ldapserver bzw. das ganze Netzwerkmodul zu diesem Zeitpunkt noch nicht gestartet ist.
Den Vorschlag alles nochmal auf default zu setzen(Pam/nsswitch-Konfiguration) habe ich gemacht. Danach habe ich es noch mal nach der Anleitung aus dem Suse Handbuch gemacht, mit dem Erfolg das ich alles "richtig" (nach Anleitung) eingetragen hatte, aber das System die Ldap-user nicht kannte.

[ramsys]

Ich nutze ein SLES 9. Und ja die Susehandbuch empfehlung ist auch meine Konfiguration. Was sagt denn deine ldap.conf in etc und in /etc/openldap/ + slapd.conf ?

[Klein_Karlchen]

ldap.conf (in /etc ist eine Link auf /etc/openldap gesetzt):
host 127.0.0.1
base dc=gym,dc=local
ldap_version 3
binddn ou=nss,dc=gym,dc=local
bindpw ...
rootbinddn cn=Manager,dc=gym,dc=local
pam_password crypt
nss_base_passwd ou=People,dc=gym,dc=local?sub
nss_base_shadow ou=People,dc=gym,dc=local?sub
nss_base_group ou=Group,dc=gym,dc=local?sub


sladpd.conf:
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/yast.schema
include /etc/openldap/schema/samba3.schema
include /etc/openldap/schema/nis.schema
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
modulepath /usr/lib/openldap/modules
loglevel 0
access to *
by * read
database bdb
suffix "dc=gym,dc=local"
checkpoint 1024 5
cachesize 10000
rootdn "cn=Manager,dc=gym,dc=local"
rootpw {SSHA}...
directory /var/lib/ldap
index objectClass eq
index uid eq
index uniqueMember eq
index sambaSID eq
index uidNumber eq
index gidNumber eq
index cn eq
index memberUid eq


Die Zugriffregeln habe ich erstmal rausgenommen und für alle lesenden Zugriff erlaubt.
Die Passwörter habe ich mal durch "..." für das Forum ersetzt.
Die Datei /etc/ldap.secret enthält das Manager Passwort.
Die ldapsearch/add/delete Programme funktionieren ohne Probleme.

[ramsys]

Hast du denn mal ein wenig die Logs durchgesehen wenn du dich mal wieder nicht anmelden konntest?
Du hast nicht zufällig im Ldap noch n root mit uid 0?