Главная » Форум » Gentoo Linux » Системное администрирование

pam_ldap - Invalid credentials [SOLVED]

joper 28 февраля, 2008 - 17:52

Читал, что можно настроить сабж через pam.
Но в конфиге самого ssh-демона тоже есть возможность настроить лдап.
В конфиге пишут:
# here are the new patched ldap related tokens
# entries in your LDAP must have posixAccount & ldapPublicKey objectclass

1. Собственно где брать схему, описывающую "ldapPublicKey objectclas"

2. Какой из способов предпочтительней pam или сам openssh?

3. Можно ли как-нибудь некоторым юзерам разрешить доступ только к определённой папке, и чтобы за перелы неё- никуда(что-нить типа chroot - например как у vsftpd)?

‹ GRE. Объясните пожалуйста что это. [SOLVED] iptables VPN клиенты ›
»

Собственно

Автор joper, дата создания 29 февраля, 2008 - 18:17.

Собственно заждавшить ответов, попробовал настроить pam_ldap, хотя везде пишется, что заводится с пол-оборота.
У мя не получилось.

В логах:
Если убрать "ldap" из nsswitch.conf

Feb 29 14:27:25 cthulhu sshd(pam_unix)[14282]: check pass; user unknown
Feb 29 14:27:25 cthulhu sshd(pam_unix)[14282]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.254
Feb 29 14:27:25 cthulhu sshd[14282]: pam_ldap: error trying to bind as user "uid=test,ou=Users,ou=Main,dc=xxx,dc=yyy" (Invalid
 credentials)

Если не убирать.

Feb 29 14:50:30 cthulhu sshd[14348]: error: PAM: Authentication failure for test from 192.168.1.254
Feb 29 14:50:30 cthulhu sshd[14348]: Failed keyboard-interactive/pam for test from 192.168.1.254 port 55117 ssh2

Но ldapsearch биндится от "uid=test,ou=Users,ou=Main,dc=xxx,dc=yyy" и работает без проблем.

конфиги:

# cat /etc/pam.d/system-auth
#%PAM-1.0

auth       required     pam_env.so
auth       sufficient   pam_unix.so likeauth nullok
auth       sufficient  pam_ldap.so use_first_pass
auth       required     pam_deny.so

account    required     pam_unix.so
account    sufficient   pam_ldap.so

password   required     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password   sufficient   pam_unix.so nullok md5 shadow use_authtok
password   sufficient   pam_ldap.so use_authtok
password   required     pam_deny.so

session    required     pam_limits.so
session    required     pam_unix.so
session    optional     pam_ldap.so

# cat /etc/ldap.conf |grep -v "#"

ssl on
host    ldap.moscow.ximxim.com
BASE    dc=moscow,dc=ximxim,dc=com
URI     ldaps://ldap.moscow.ximxim.com
logdir /var/log/nss_ldap
ldap_version 3
rootbinddn cn=svn,ou=SysUsers,ou=Main,dc=xxx,dc=yyyy
binddn cn=svn,ou=SysUsers,ou=Main,dc=xxx,dc=yyy
bindpw XXXXXXXX
pam_password exop
pam_login_attribute uid
nss_base_passwd ou=Users,ou=Main,dc=xxx,dc=yyy
nss_base_shadow ou=Users,ou=Main,dc=xxx,dc=yyyy
nss_base_group ou=Projects,ou=Subversion,ou=Services,dc=xxx,dc=yyy

# cat /etc/nsswitch.conf
# /etc/nsswitch.conf:
# $Header: /var/cvsroot/gentoo/src/patchsets/glibc/extra/etc/nsswitch.conf,v 1.1 2006/09/29 23:52:23 vapier Exp $
passwd:      compat ldap
shadow:      compat ldap
group:       compat ldap

Но команда passwd меняет пароль у пользователя в лдап.

»

разобрался,

Автор joper, дата создания 29 февраля, 2008 - 19:15.

разобрался, надо было дать в лдапе шел.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".