On Sun, Dec 02, 2001 at 03:54:34PM +0300, Ingvarr Zhmakin wrote: > Утро доброе. > > Очередной геморройчик на ваш суд. > > Debian, pam_ldap, конфиги настроены, как сказано. > > При попытке залогиниться в юзера, прописанного только в LDAP, скажем, > через su, имеем: > > auth.log: > ======= > <date,host> su[1192]: pam_ldap: ldap_set_option(LDAP_OPT_X_TLS_REQUIRE_CERT): > Unknown error > <date,host> su[1192]: pam_ldap: _set_ssl_default_options failed > <date,host> su[1192]: pam_ldap: error trying to bind (Invalid credentials) Написал же - не смог bind сделать, т.е подключться. Я ssl не делал, тут не знаю, но вообще думаю, что или с коммуникациями что-то не так, или не правильно этот самый binddn прописан в pam_ldap.conf (или пароль для него). В той версии что стоит у меня (potato r4), pam-овский модуль подключается к серверу с правами чтения поля с паролем и проверяет его. По-моему еще я видел, когда просто проверялась возможность сделать bind для соотв. пользователя + некие параметры из конфига. В общем у меня такой pam_ldap.conf:
# Your LDAP server. host 127.0.0.1 # The distinguished name of the search base. base c=BY # Use the V3 protocol to optimize searches ldap_version 2 # NOTE: If you use these, be sure to chmod 600 this file # for security reasons # # The distinguished name to bind to the server with. # Optional: default is to bind anonymously. binddn cn=admin, ou=People, o=Center of Information Technology - CIT, c=BY # # The credentials to bind with. # Optional: default is no credential. bindpw пароль # Filter to AND with uid=%s #pam_filter objectclass=account # The user ID attribute (defaults to uid) pam_login_attribute uid # Search the root DSE for the password policy (works # with Netscape Directory Server) #pam_lookup_policy yes # Group to enforce membership of #pam_groupdn cn=PAM,ou=Groups,dc=example,dc=net # Group member attribute #pam_member_attribute uniquemember # Hash password locally; required for University of # Michigan LDAP server, and works with Netscape # Directory Server if you're using the UNIX-Crypt # hash mechanism and not using the NT Synchronization # service. pam_crypt local -- Best regards, Sergey Chumakov 2:450/77[.43]