RE: LDAP Auth im SSH
... Nachdem ich use_first_pass von pam_ldap.so nach pam_unix.so geschoben habe, funktioniert alles. Vielen Dank! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Auth im SSH
Hallo, bitte kein Reply an mich, ich lese die Liste mit. Am Dienstag, 3. Mai 2005 13:35 schrieb Christian Poessinger: > [...] > > Habe nun die Reihenfolge auch einmal umgedreht, aber hat nichts gebracht. > Die Datei /etc/acl/ssh.acl hat natürlich richtige Syntax. > > $ cat /etc/pam.d/ssh > [...] auf den ersten Blick ok. > $ cat /etc/pam.d/common-* > > # /etc/pam.d/common-account - authorization settings common to all services > # > account sufficient pam_ldap.so use_first_pass debug > account requiredpam_unix.so > # > # /etc/pam.d/common-auth - authentication settings common to all services # > authsufficient pam_ldap.so use_first_pass debug > authrequiredpam_unix.so nullok_secure Das use_first_pass muss dann aber zum pam_unix Modul. Die Module werden ja der Reihe nach durchprobiert. (gilt für die anderen common-* Dateien auch) Das pam_ldap hat sonst ja auch noch keinen first_pass vor sich gehabt, dessen auth-token sie verwenden kann. Und bitte auch mal die Meldungen dann vom Einloggversuch mitposten und Auszug aus dem Auth-Log. MfG Markus Schulz
RE: LDAP Auth im SSH
[...] Habe nun die Reihenfolge auch einmal umgedreht, aber hat nichts gebracht. Die Datei /etc/acl/ssh.acl hat natürlich richtige Syntax. $ cat /etc/pam.d/ssh # PAM configuration for the Secure Shell service #Nur Gruppen welche sich in /etc/acl/ssh.acl befinden, duerfen einloggen. auth required pam_listfile.so file=/etc/acl/ssh.acl item=group sense=allow onerr=succeed auth required pam_nologin.so auth required pam_env.so # Standard Un*x authentication. @include common-auth # Standard Un*x authorization. @include common-account # Standard Un*x session setup and teardown. @include common-session sessionoptional pam_motd.so # [1] sessionoptional pam_mail.so standard noenv # [1] #sessionrequired pam_limits.so # Standard Un*x password updating. @include common-password $ cat /etc/pam.d/common-* # /etc/pam.d/common-account - authorization settings common to all services # account sufficient pam_ldap.so use_first_pass debug account requiredpam_unix.so # # /etc/pam.d/common-auth - authentication settings common to all services # authsufficient pam_ldap.so use_first_pass debug authrequiredpam_unix.so nullok_secure # # /etc/pam.d/common-password - password-related modules common to all services # password sufficient pam_ldap.so use_first_pass debug password required pam_unix.so nullok obscure min=4 max=8 md5 shadow use_authtok password required pam_cracklib.so retry=3 minlen=6 difok=3 # # /etc/pam.d/common-session - session-related modules common to all services # session sufficient pam_ldap.so use_first_pass debug session requiredpam_unix.so
Re: LDAP Auth im SSH
Am Dienstag, 3. Mai 2005 12:46 schrieb Christian Poessinger: [...] > # cat /etc/pam.d/ssh | grep ldap > account sufficient /lib/security/pam_ldap.so use_first_pass debug > authsufficient /lib/security/pam_ldap.so use_first_pass debug > password sufficient /lib/security/pam_ldap.so use_first_pass debug > session sufficient /lib/security/pam_ldap.so use_first_pass debug > > > Jemand eine Idee? Schoneimal Danke an euch. Ich habe die Reihenfolge genau andersrum, also erst ldap versuchen und anschliessend pam_unix und das funktioniert wunderbar. [EMAIL PROTECTED]:~$cat /etc/pam.d/common-auth authsufficient pam_ldap.so authrequiredpam_unix.so use_first_pass nullok_secure Ansonsten poste mal alle relevanten Zeilen (incl. pam_unix) aus deiner /etc/pam.d/ssh MfG Markus Schulz -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
LDAP Auth im SSH
Hallo, ich habe ein Auth System gebaut welches auf OpenLDAP basiert, mein master-LDAP-server läuft unter Gentoo 2004.1 hier ist es mir auch möglich mit einem LDAP user im SSH eine Verbindung aufzubauen. Leider ist das auf meinem Debian Sarge client nicht der fall. Die LDAP connectivität zum Server ist vorhanden, hier ein paar Befehle: # id cb uid=7000(cb) gid=1019(user) groups=1019(user) # getent passwd cb cb:x:7000:1019:Christian:/home/cb:/bin/bash # finger cb Login: cb Name: Christian Directory: /home/cb Shell: /bin/bash Never logged in. No mail. No Plan. Diese funktionieren sowohl mit UID=0 und mit dem benutzer nobody. Wenn ich eine SSH Verbindung herstellen möchte und mein Passwort eingebe erscheint folgendes im Syslog: May 3 14:43:33 sshd[12845]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost.localdomain May 3 14:43:36 sshd[12845]: error: PAM: Authentication service cannot retrieve authentication info. for cb from localhost.localdomain meine sshd config beinhaltet dies: AuthPAM on UsePrivilegedAccount no ebenfalls habe ich # cat /etc/pam.d/ssh | grep ldap account sufficient /lib/security/pam_ldap.so use_first_pass debug authsufficient /lib/security/pam_ldap.so use_first_pass debug password sufficient /lib/security/pam_ldap.so use_first_pass debug session sufficient /lib/security/pam_ldap.so use_first_pass debug Jemand eine Idee? Schoneimal Danke an euch.
