Ldap-client system-auth

wenger · n00b Joined: 26 Apr 2004 Posts: 34 Location: Bodensee

Ich habe jetzt 11 Suses an den Arktur 4.0b32a angehängt, ging mit etwas Mühe (Problem lag bei Suse).
Aber jetzt muss ich noch 10 gentoo-Clients anbinden (Mandrake scheint gleiche configs zu haben).
Die ldap.conf habe ich von der Suse übernommen scheinzu gehen. Die nssswitch.conf scheint auch zu stimmen.
d.h. getent passwd liefert alle nutzer auf Arktur über ldap richtig!! :-)

)
Aber wenn ich mich mit kdm oder auf derr Konsole als Nutzer anmelde kommt immer:
you are required to change your password immediately(password aged)
So sehen meine configs aus:
Die ldap.conf:
# @(#)$Id: ldap.conf,v 2.33 2003/06/17 00:23:30 lukeh Exp $
#
# This is the configuration file for the LDAP nameservice
# switch library and the LDAP PAM module.
#
# PADL Software
# http://www.padl.com
#

# Your LDAP server. Must be resolvable without using LDAP.
# Multiple hosts may be specified, each separated by a
# space. How long nss_ldap takes to failover depends on
# whether your LDAP client library supports configurable
# network or connect timeouts (see bind_timelimit).
host 192.168.0.1

# The distinguished name of the search base.
base dc=fww,c=de

Der Rest ist alles auskommentiert, in der Suse steht da noch:
ssl no
das habe ich auch probiert, aber es war kein Effekt, danach habe ich aber viel verändert, vieleicht sollte ich es nochmal probieren

die nsswitch.conf:

# /etc/nsswitch.conf:
# $Header: /home/cvsroot/gentoo-src/rc-scripts/etc/nsswitch.conf,v 1.4 2002/11/18 19:39:22 azarah Exp $

#passwd: compat
#shadow: compat
#group: compat

passwd: compat files ldap nis
shadow: compat files ldap nis
group: compat files ldap nis

hosts: files dns ldap
networks: files ldap dns

services: files ldap
protocols: files ldap
rpc: files ldap
ethers: files ldap
netmasks: files
netgroup: files
bootparams: files

automount: files
aliases: files

Das habe ich nach den Folien von Reiner gemacht.

Jetzt die system-auth in /etc/pam.d dies glaube ich ist das Problem, aber ich finde den Fehler nicht: (stammt aus der Anleitung von Mandrake)
#%PAM-1.0

auth required /lib/security/pam_env.so
auth sufficient /lib/security/pam_unix.so nullok
auth sufficient /lib/security/pam_ldap.so use_first_pass
auth required /lib/security/pam_deny.so

account required /lib/security/pam_unix.so
account sufficient /lib/security/pam_ldap.so

password sufficent /lib/security/pam_unix.so nullok
password sufficient /lib/security/pam_ldap.so use_authtok
password required /lib/security/pam_deny.so

session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so
session optional /lib/security/pam_ldap.so

Da ich die 10 Clients dringend im Unterricht brauche , bin Ich auf Eure Hilfe angewiesen.
Herzlichen Dank
Peter

Marlo · Veteran Joined: 26 Jul 2003 Posts: 1591

hi wenger,

ich konnte nicht herausfinden auf welcher Distri dieses Arktur basiert. Sieht einerseits wie Debian aus, andererseits wie OpenBSD. Keine Ahnung. Aber Suse verwendet für die PAM-Konfiguration ein selbstgebautes Modul, die pam_unix2.so, während alle anderen Distris - so auch gentoo - die /lib/security/pam_ldap.so verwenden. Wenn Arktur gut mit Suse zusammenarbeitet, scheint darin deren Modul verbaut. Eine gleichartige Konfiguration mit gentoo ist auf Grund der unterschiedlichen Module wahrscheinlich nicht möglich. Da ich auch keine große Erfahrung mit Suse habe kann ich dir lediglich und unverbindlich meine conf als Anregung zum weiteren Ausprobieren überlassen.

wenger · n00b Joined: 26 Apr 2004 Posts: 34 Location: Bodensee

Danke für deine schnelle Antwort. Leider (Oder auch nicht leider), bin ich ab Morgen für eine Woche im Urlaub, so dass ich es nicht sofort probieren kann.
Arktur ist der ODS-Server ursprünglich von C't als Schulserver entwickelt. Wird an über 5000 Schulen eingesetzt. Beruht im Moment auf einer stark abgeänderten Suse 9.0. Ursprünglich war es Slakware.
Gruss Peter

wenger · n00b Joined: 26 Apr 2004 Posts: 34 Location: Bodensee

Jetzt habe ich die Lösung, Reiner Klaproth der Entwickler des Schulservers Arktur hat mir dabei geholfen.

Zuerst meine system-auth: (gekürzt)
>auth required /lib/security/pam_env.so
>> auth sufficient /lib/security/pam_unix.so nullok
>> auth sufficient /lib/security/pam_ldap.so use_first_pass
>> auth required /lib/security/pam_deny.so
Hier ist die Lösung

umgekehrte Reihenfolge:
ERST
auth sufficient /lib/security/pam_ldap.so
DANN
auth required /lib/security/pam_unix.so
auth required /lib/security/pam_env.so
auth required /lib/security/pam_deny.so

Analog bei den anderen Einträgen. So wie Du es hier drin hast,
sucht der Client zuerst in der lokalen Datenbank und danach
im LDAP. Er muss umgekehrt vorgehen, damit es klappt.

Komisch finde ich allerdings, das von dieser Reihenfolge nirgens bei gentoo etwas zu finden ist. Aber es klappt.
:lol:

Gruss Peter

Marlo · Veteran Joined: 26 Jul 2003 Posts: 1591