OpenLdap उपयोगकर्ताओं को शो क्यों नहीं मिलता है?


4

मैं Ubuntu 10.04 को कॉन्फ़िगर करने की कोशिश कर रहा हूं ताकि मैं ldap क्रेडेंशियल का उपयोग करके लॉगिन कर सकूं।

मैंने पाया है कि मैंने पाया कई ट्यूटोरियल में इन सामान्य विन्यास चरणों का पालन किया है:

1) स्थापित पुस्तकालयों:

sudo apt-get install libpam-ldap libnss-ldap nss-updatedb libnss-db nscd

2) libnss_ldap द्वारा संकेत दिए जाने पर कनेक्शन विवरण में दर्ज किया गया

3) कॉन्फ़िगर nsswitch.conf का उपयोग करने के लिए ldap:

...
passwd: files ldap
group: files ldap
shadow: files ldap
...

4) कॉन्फ़िगर pam.d आम- * फाइलें

यहां "सामान्य-वस्तु" की सामग्री दी गई है:

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_ldap.so use_first_pass
# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

मैंने 2 लिनक्स सर्वरों पर यह कोशिश की है। न ही कोई ldap उपयोगकर्ताओं को पहचानता है। उदाहरण के लिए, getent passwd <ldap username>कुछ भी वापस नहीं करता है। id <ldap username>लौटता है no such user

अगर मैं अपने ldap क्रेडेंशियल का उपयोग करते हुए ssh करने की कोशिश करता हूं, तो मुझे यह देखना है।

Jun  2 14:16:50 hostnameXX sshd[1527]: pam_unix(sshd:auth): check pass; user unknown
Jun  2 14:16:50 hostnameXX sshd[1527]: pam_unix(sshd:auth): authentication failure; logname=uid=0 euid=0 tty=ssh ruser= rhost=xx.xx.xx.xx

अपडेट करें

मैंने ldap.conf में निम्नलिखित को अक्षम कर दिया:

nss_base_passwd ou=xxx,dc=xxx,dc=xxx
nss_base_shadow ou=xxx,dc=xxx,dc=xxx
nss_base_group  ou=xxx,dc=xxx,dc=xxx

और अब थोड़ी प्रगति कर रहा हूँ - अब मैं इसे देख रहा हूँ।

Jun  2 16:15:03 <hostname> sshd[1566]: pam_ldap: error trying to bind as user cn=xxxx,ou=xxx,dc=xxx,dc=xx" (Invalid credentials)
Jun  2 16:15:05 <hostname> sshd[1566]: Failed password for invalid user xxxx from xx.xx.xx.xx port xxxx ssh2

अगर मैं ldapsearchldap.conf में निर्दिष्ट समान होस्ट और आधार dn का उपयोग कर रहा हूं, तो मैं अपने ldap उपयोगकर्ता खाते को सफलतापूर्वक क्वेरी और खोज सकता हूं।

मैं क्या खो रहा हूँ? शायद कुछ सेवा शुरू करने की आवश्यकता है? किसी भी मदद के लिए बहुत धन्यवाद।

जवाबों:


3

मैंने डिबग मोड में nslcd की शुरुआत की: nslcd -dऔर बयानों में देखा कि यह ऑब्जेक्टक्लास पॉज़िक्सअकाउंट के लिए देख रहा था। मेरे LDAP में सभी प्रविष्टियाँ inetOrgPerson प्रकार की थीं। मुझे nap.schema को slapd.conf फ़ाइल में शामिल करना था, और फिर प्रत्येक प्रविष्टि में एक सहायक ऑब्जेक्ट के रूप में posixAccount जोड़ें। फिर, मैं अंत में LDAP के अंदर खातों को देखने के लिए उपयोग कर सकते हैं।

क्रॉस यहाँ पोस्ट किया गया:

https://serverfault.com/questions/282349/is-it-necessary-to-synchronize-users-between-ubuntu-client-and-ldap


बहुत बहुत धन्यवाद, मेरे पास कॉन्फ़िगरेशन का भाग सभी सेट अप था और यह सरल विवरण मुझे बच रहा था।
paulo.albuquerque

1

क्या आपके पास पाम मॉड्यूल में pam_ldap है? गायब है जो व्यवहार की व्याख्या करेगा।


आपकी सहायता के लिए धन्यवाद। मैंने /etc/pam.d/common-auth की सामग्री को सूचीबद्ध करने के लिए अपने मूल प्रश्न को अपडेट किया। दिखाया गया है, यह pam_ldap.so का उपयोग करने के लिए कॉन्फ़िगर किया गया है। मैं देखता हूं कि pam_ldap.so /lib/security/pam_ldap.so के अंदर मौजूद है। शायद मुझे इसे 'सक्षम' करने के लिए एक और कदम करने की आवश्यकता है?
अपग्रेडेडेव

1

हमारे (Centos) सिस्टम LDAP (सक्रिय निर्देशिका के विरुद्ध) का उपयोग करते हैं। क्या आपने अपना /etc/ldap.conf सेट किया था? हमारा नक्शा LD में DN के लिए nss_ * टैग करता है। यदि आपने ऐसा नहीं किया है, तो काम करने की संभावना नहीं है। इस ओपनडैप ऑप्टर ट्यूटोरियल को देखें

एक सेवा है जो मदद कर सकती है nscd, नाम सेवा कैश डेमॉन। जैसा कि नाम से ही स्पष्ट है, यह सिर्फ कैश करता है, इसलिए यह आपके मुद्दे के होने की संभावना नहीं है, हालांकि एक बार आप अपने मुद्दे का पता लगाने में मदद कर सकते हैं। यह कभी-कभी 'अटक' जाता है, और हमें इसे तब उछालना पड़ता है जब यह अपने कैश को ठीक से ताज़ा नहीं करता है।


धन्यवाद, धनी। मैंने ldap.conf के अंदर कई लाइनें देखीं, जिन पर टिप्पणी की गई थी। मैंने उन्हें उलट दिया और संबंधित ou के लिए इंगित करने के लिए उन्हें कॉन्फ़िगर किया। Nscd सुझाव के लिए भी धन्यवाद। मैंने मैन पेज पढ़ा है और nscd सेवा को फिर से शुरू करने जैसी कुछ चीजों की कोशिश की है। लेकिन ऐसा लगता है जैसे कुछ भी नहीं करने के लिए भी जोड़ने की कोशिश कर रहा है ldap .... बहुत अजीब है।
अपग्रेडेडेव

मैं प्रगति कर रहा हूं। Nss_ * टैग्स को अनइंस्टॉल करने के बाद, मैं अब और अधिक उत्साहजनक आउटपुट को देख रहा हूँ।
अपग्रेडेडेव
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.