Re: LDAP, PAM, pam_ldap.

2001-12-03 Пенетрантность Sergey Chumakov 
On Sun, Dec 02, 2001 at 03:54:34PM +0300, Ingvarr Zhmakin wrote:
 Утро доброе.
 
 Очередной геморройчик на ваш суд.
 
 Debian, pam_ldap, конфиги настроены, как сказано.
 
 При попытке залогиниться в юзера, прописанного только в LDAP, скажем,
 через su, имеем:
 
 auth.log:
 ===
 date,host su[1192]: pam_ldap: ldap_set_option(LDAP_OPT_X_TLS_REQUIRE_CERT): 
 Unknown error
 date,host su[1192]: pam_ldap: _set_ssl_default_options failed
 date,host su[1192]: pam_ldap: error trying to bind (Invalid credentials)
Написал же - не смог bind сделать, т.е подключться. Я ssl не делал,
тут не знаю, но вообще думаю, что или с коммуникациями что-то не так,
или не правильно этот самый binddn прописан в pam_ldap.conf (или пароль для 
него).
В той версии что стоит у меня (potato r4), pam-овский модуль подключается к
серверу с правами чтения поля с паролем и проверяет его.
По-моему еще я видел, когда просто проверялась возможность сделать bind для
соотв. пользователя + некие параметры из конфига. В общем у меня такой
pam_ldap.conf:


# Your LDAP server.
host 127.0.0.1

# The distinguished name of the search base.
base c=BY

# Use the V3 protocol to optimize searches
ldap_version 2

# NOTE: If you use these, be sure to chmod 600 this file
# for security reasons
#
# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
binddn cn=admin, ou=People, o=Center of Information Technology - CIT, c=BY

#
# The credentials to bind with.
# Optional: default is no credential.
bindpw пароль

# Filter to AND with uid=%s
#pam_filter objectclass=account

# The user ID attribute (defaults to uid)
pam_login_attribute uid

# Search the root DSE for the password policy (works
# with Netscape Directory Server)
#pam_lookup_policy yes

# Group to enforce membership of
#pam_groupdn cn=PAM,ou=Groups,dc=example,dc=net

# Group member attribute
#pam_member_attribute uniquemember

# Hash password locally; required for University of
# Michigan LDAP server, and works with Netscape
# Directory Server if you're using the UNIX-Crypt
# hash mechanism and not using the NT Synchronization
# service.
pam_crypt local


-- 
Best regards,
Sergey Chumakov 2:450/77[.43]

LDAP, PAM, pam_ldap.

2001-12-02 Пенетрантность Ingvarr Zhmakin 
Утро доброе.

Очередной геморройчик на ваш суд.

Debian, pam_ldap, конфиги настроены, как сказано.

При попытке залогиниться в юзера, прописанного только в LDAP, скажем,
через su, имеем:

auth.log:
===
date,host su[1192]: pam_ldap: ldap_set_option(LDAP_OPT_X_TLS_REQUIRE_CERT): 
Unknown error
date,host su[1192]: pam_ldap: _set_ssl_default_options failed
date,host su[1192]: pam_ldap: error trying to bind (Invalid credentials)
date,host PAM_unix[1192]: check pass; user unknown
date,host PAM_unix[1192]: authentication failure; root(uid=1000)
- test for su service
date,host su[1192]: pam_authenticate: Authentication service cannot retrieve 
authentication info.
date,host su[1192]: - pts/2 victim-test
===

Вроде оно хочет чего-то ссл-ного, но во-первых, с чего (я не просил),
во вторых, как лечить? :-)

   Ingvarr.