dimanche 27 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

Linux.debian : Problème LDAP

Posté par Jean Parpaillon (Jabber id, page perso, ) le 28 décembre 2007

Bonjour,

Je me bat depuis 5 jours avec LDAP, et pour l'instant il est plus fort que moi. J'espère donc qu'une âme charitable trouvera la réponse à mes problèmes.



J'ai donc installé openldap (slapd) sur une Debian Etch. Afin d'utiliser l'authentification SASL avec ldaps, je stocke les mots de passe en CLEARTEXT. Pour l'instant slapd est accessible en ldap:// et ldaps://.



J'arrive à faire mes requêtes ldapsearch avec l'utilisateur admin et avec les utilisateurs autres, en ldap et en ldaps. Jusque-là, tout va bien :-) En plus, les ACLs sont respectées : typiquement, tous les champs userPassword sont accessible depuis admin, un utilisateur lambda peut voir son mot de passe mais pas les autres, que du classique.



Ensuite, j'ai voulu configurer nss et pam sur cet annuaire.

Si je fait 'getent passwd', j'ai bien mes utilisateurs ldap.



Par contre, nss et pam ne peuvent pas accéder au champ userPassword et donc je ne peux pas logger un utilisateur LDAP sur la machine. J'ai systématiquement:



Authentication service cannot retrieve authentication info





Alors, dans libnss-ldap.conf, j'avais pas mis de bindn, pensant que pour le mot de passe, ça se faisait avec le rootbinddn. Du coup, effectivement, nss se logge en anonyme sur LDAP et n'a pas accès aux mots de passe. Donc j'ai créé un utilisateur bidon qui a accès en lecture aux mots de passe et je l'ai mis dans libnss-ldap.conf (et pam_ldap.conf également, tant qu'à faire).



Toujours rien. NSS et PAM me retournent toujours:



Authentication service cannot retrieve authentication info







Une idée ?

> Lire le message (4 commentaires, moyenne: 1,3).  

Vous avez demandé le commentaire #894213.

debconf ?

Posté par Raphaël SurcouF (Jabber id, page perso, ) le 28/12/2007 à 23:32. (lien). Évalué à 2.

Peux-tu nous donner (sauf mot de passe évidemment), le résultat de la commande suivante :
$ debconf-show libnss-ldap

En outre, peux-tu activer, si ce n'est déjà fait le niveau 256 (ou stats) des logs de slapd via la directive loglevel afin d'en savoir plus sur les erreurs au niveau d'openldap.

  • [^]Re: debconf ?

    Posté par Jean Parpaillon (Jabber id, page perso, ) le 07/01/2008 à 14:38. (lien). Évalué à 1.

    Voilà ma config de libnss-ldap


    jean@bohort:/etc$ sudo debconf-show libnss-ldap
    * libnss-ldap/rootbindpw: (password omitted)
    libnss-ldap/bindpw: (password omitted)
    * libnss-ldap/dblogin: false
    libnss-ldap/override: true
    * shared/ldapns/base-dn: dc=site,dc=com
    * shared/ldapns/ldap-server: ldap://127.0.0.1/
    * libnss-ldap/confperm: false
    * libnss-ldap/rootbinddn: cn=admin,dc=site,dc=com
    * shared/ldapns/ldap_version: 3
    libnss-ldap/binddn: cn=proxyuser,dc=example,dc=net
    * libnss-ldap/nsswitch:
    * libnss-ldap/dbrootlogin: true


    J'ai un utilisateur "test" dans ma base ldap dont voici les attributs d'après ldapsearch:

    # test, people, site.com
    dn: uid=test,ou=people,dc=site,dc=com
    homeDirectory: /home/test
    loginShell: /bin/bash
    uidNumber: 20010
    objectClass: top
    objectClass: person
    objectClass: organizationalPerson
    objectClass: inetOrgPerson
    objectClass: posixAccount
    objectClass: shadowAccount
    cn: Test Test
    uid: test
    sn: Test
    givenName: Test
    gidNumber: 20010
    mail: test@site.com
    userPassword:: XXXXXXXXXXXXXXXXXXXXXXXXX



    Voilà le log de slapd quand je tente un "su - test" :


    conn=14 fd=11 ACCEPT from IP=127.0.0.1:43278 (IP=0.0.0.0:389)
    conn=14 op=0 BIND dn="cn=admin,dc=site,dc=com" method=128
    conn=14 op=0 BIND dn="cn=admin,dc=site,dc=com" mech=SIMPLE ssf=0
    conn=14 op=0 RESULT tag=97 err=0 text=
    conn=14 op=1 SRCH base="ou=people,dc=site,dc=com" scope=1 deref=0 filter="(&(objectClass=shadowAccount)(uid=test))"
    conn=14 op=1 SRCH attr=uid userPassword shadowLastChange shadowMax shadowMin shadowWarning shadowInactive shadowExpire shadowFlag
    <= bdb_equality_candidates: (uid) index_param failed (18)
    conn=14 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
    conn=15 fd=15 ACCEPT from IP=127.0.0.1:43279 (IP=0.0.0.0:389)
    conn=15 op=0 BIND dn="cn=admin,dc=site,dc=com" method=128
    conn=15 op=0 BIND dn="cn=admin,dc=site,dc=com" mech=SIMPLE ssf=0
    conn=15 op=0 RESULT tag=97 err=0 text=
    conn=15 op=1 SRCH base="ou=people,dc=site,dc=com" scope=1 deref=0 filter="(uid=test)"
    <= bdb_equality_candidates: (uid) index_param failed (18)
    conn=15 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
    conn=15 op=2 BIND anonymous mech=implicit ssf=0
    conn=15 op=2 BIND dn="uid=test,ou=people,dc=site,dc=com" method=128
    slap_global_control: unrecognized control: 1.3.6.1.4.1.42.2.27.8.5.1
    conn=15 op=2 BIND dn="uid=test,ou=people,dc=site,dc=com" mech=SIMPLE ssf=0
    conn=15 op=2 RESULT tag=97 err=0 text=
    conn=15 op=3 BIND anonymous mech=implicit ssf=0
    conn=15 op=3 BIND dn="cn=admin,dc=site,dc=com" method=128
    conn=15 op=3 BIND dn="cn=admin,dc=site,dc=com" mech=SIMPLE ssf=0
    conn=15 op=3 RESULT tag=97 err=0 text=
    conn=15 op=4 UNBIND
    conn=15 fd=15 closed
    conn=14 fd=11 closed (connection lost)




    Remarque: je ne comprend pourquoi il y a des BIND en admin...


    Merci énormément pour l'aide, en tous cas.

    Jean

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0472s (dont 0.004 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.