Re: LDAP / passwd
Bjoern Schmidt wrote:
[EMAIL PROTECTED] wrote:
Wie bei mir. Zwischen unseren configs bestehen keine interessanten
Unterschiede. Echt seltsam der Fehler. Ich gehe mal davon aus dass
es ein Konfigurationsproblem ist und mache keinen Bugreport auf.
Fürs Archiv hänge ich den patch an. Vielleicht Liegt es ja doch am
Modul...
Der patch ist gegen libpam-ldap-169-2 aus sarge
[...]
Da ist mit diff irgendwas falsch gelaufen. Hier nochmal der richtige Patch
(Frank, Deiner ist auch kaputt). Sorry an alle die den patch nicht brauchen
und jetzt unnötig 10kB. mehr herunterladen müssen ;)
--
Mit freundlichen Gruessen
Bjoern Schmidt
--- libpam-ldap-169/pam_ldap.c 2004-12-01 14:48:49.0 +0100
+++ /data/build/libpam-ldap-169/pam_ldap.c 2004-12-01 10:07:40.0
+0100
@@ -2604,9 +2604,10 @@
#ifdef LDAP_EXOP_MODIFY_PASSWD
/* for OpenLDAP password change extended operation */
BerElement *ber;
- struct berval *bv;
- char *retoid;
- struct berval *retdata;
+ struct berval bv = {0, NULL};
+ int id, code = LDAP_OTHER;
+ int rc_pr = 0;
+ LDAPMessage *res;
#endif /* LDAP_EXOP_MODIFY_PASSWD */
if (session->info == NULL)
@@ -2783,35 +2784,43 @@
ber_printf (ber, "ts", LDAP_TAG_EXOP_MODIFY_PASSWD_ID,
session->info->userdn);
/* this doesn't appear to be necessary anymore */
- ber_printf (ber, "ts", LDAP_TAG_EXOP_MODIFY_PASSWD_OLD, old_password);
+//ber_printf (ber, "ts", LDAP_TAG_EXOP_MODIFY_PASSWD_OLD, old_password);
ber_printf (ber, "ts", LDAP_TAG_EXOP_MODIFY_PASSWD_NEW, new_password);
ber_printf (ber, "N}");
- rc = ber_flatten (ber, &bv);
+ rc = ber_flatten2(ber, &bv, 0 );
if (rc < 0)
{
ber_free (ber, 1);
return PAM_BUF_ERR;
}
- ber_free (ber, 1);
+ if (ldap_bind_s( session->ld, session->info->userdn,
+session->info->userpw, LDAP_AUTH_SIMPLE ) != LDAP_SUCCESS )
+ {
+ ldap_perror(session->ld, "ldap_bind" );
+ }
- rc =
- ldap_extended_operation_s (session->ld, LDAP_EXOP_MODIFY_PASSWD, bv,
- NULL, NULL, &retoid, &retdata);
- ber_bvfree (bv);
+ rc = ldap_extended_operation (session->ld, LDAP_EXOP_MODIFY_PASSWD,
+ &bv, NULL, NULL, &id);
- if (rc != LDAP_SUCCESS)
+ rc_pr = ldap_result(session->ld, LDAP_RES_ANY, LDAP_MSG_ALL, NULL, &res
);
+if ( rc_pr < 0 )
+{
+ldap_perror( session->ld, "ldap_result error" );
+}
+
+ rc_pr = ldap_parse_result(session->ld, res, &code, NULL, NULL, NULL,
NULL, 1 );
+ rc = code;
+
+ if( rc_pr != LDAP_SUCCESS )
{
- syslog (LOG_ERR, "pam_ldap: ldap_extended_operation_s %s",
- ldap_err2string (rc));
- rc = PAM_PERM_DENIED;
+ ldap_perror(session->ld, "ldap_parse_result error");
}
- else
+
+ if( code != LDAP_SUCCESS )
{
- ber_bvfree (retdata);
- ber_memfree (retoid);
- rc = PAM_SUCCESS;
+ printf( "Result: %s (%d)\n", ldap_err2string( code ), code );
}
#else
rc = PAM_SERVICE_ERR;
@@ -3414,6 +3423,8 @@
else
{
int errcode;
+ errcode = ldap_bind_s( session->ld, session->conf->binddn,
+session->conf->bindpw, LDAP_AUTH_SIMPLE );
/* update shadowLastChange; may fail if not shadowAccount */
snprintf (buf, sizeof buf, "%ld", time (NULL) / (60 * 60 * 24));
Re: LDAP / passwd
[EMAIL PROTECTED] wrote:
Das stimmt, ich kann als root unbeachtet der cracklib die passwörter
ändern.
Der meckert zwar beim erstellen rum wenn er seine wörterbuchdateien
durchforstet, macht es aber dann trotzdem. ich habe Dir mal die
geschehnisse mit strace verfolgt und den relevanten Teil angehangen.
Bei mir gehts auch nur als root. Das kann ich tolerieren.
versionsnummer vom slapd = 2.1.30-3
Wie bei mir. Zwischen unseren configs bestehen keine interessanten
Unterschiede. Echt seltsam der Fehler. Ich gehe mal davon aus dass
es ein Konfigurationsproblem ist und mache keinen Bugreport auf.
Fürs Archiv hänge ich den patch an. Vielleicht Liegt es ja doch am
Modul...
Der patch ist gegen libpam-ldap-169-2 aus sarge
--
Mit freundlichen Gruessen
Bjoern Schmidt
--- /tmp/libpam-ldap-169/pam_ldap.c 2004-12-01 08:52:08.0 +0100
+++ libpam-ldap-169/pam_ldap.c 2004-12-01 10:07:40.0 +0100
@@ -2604,9 +2604,10 @@
#ifdef LDAP_EXOP_MODIFY_PASSWD
/* for OpenLDAP password change extended operation */
BerElement *ber;
- struct berval *bv;
- char *retoid;
- struct berval *retdata;
+ struct berval bv = {0, NULL};
+ int id, code = LDAP_OTHER;
+ int rc_pr = 0;
+ LDAPMessage *res;
#endif /* LDAP_EXOP_MODIFY_PASSWD */
if (session->info == NULL)
@@ -2783,41 +2784,43 @@
ber_printf (ber, "ts", LDAP_TAG_EXOP_MODIFY_PASSWD_ID,
session->info->userdn);
/* this doesn't appear to be necessary anymore */
- ber_printf (ber, "ts", LDAP_TAG_EXOP_MODIFY_PASSWD_OLD, old_password);
+//ber_printf (ber, "ts", LDAP_TAG_EXOP_MODIFY_PASSWD_OLD, old_password);
ber_printf (ber, "ts", LDAP_TAG_EXOP_MODIFY_PASSWD_NEW, new_password);
ber_printf (ber, "N}");
- rc = ber_flatten (ber, &bv);
+ rc = ber_flatten2(ber, &bv, 0 );
if (rc < 0)
{
ber_free (ber, 1);
return PAM_BUF_ERR;
}
- ber_free (ber, 1);
+ if (ldap_bind_s( session->ld, session->info->userdn,
+session->info->userpw, LDAP_AUTH_SIMPLE ) != LDAP_SUCCESS )
+ {
+ ldap_perror(session->ld, "ldap_bind" );
+ }
- if (ldap_bind_s( session->ld, session->info->userdn,
- session->info->userpw, LDAP_AUTH_SIMPLE ) != LDAP_SUCCESS )
-{
-ldap_perror(session->ld, "ldap_bind" );
- }
-
- rc =
- ldap_extended_operation_s (session->ld, LDAP_EXOP_MODIFY_PASSWD, bv,
- NULL, NULL, &retoid, &retdata);
- ber_bvfree (bv);
+ rc = ldap_extended_operation (session->ld, LDAP_EXOP_MODIFY_PASSWD,
+ &bv, NULL, NULL, &id);
- if (rc != LDAP_SUCCESS)
+ rc_pr = ldap_result(session->ld, LDAP_RES_ANY, LDAP_MSG_ALL, NULL, &res
);
+if ( rc_pr < 0 )
+{
+ldap_perror( session->ld, "ldap_result error" );
+}
+
+ rc_pr = ldap_parse_result(session->ld, res, &code, NULL, NULL, NULL,
NULL, 1 );
+ rc = code;
+
+ if( rc_pr != LDAP_SUCCESS )
{
- syslog (LOG_ERR, "pam_ldap: ldap_extended_operation_s %s",
- ldap_err2string (rc));
- rc = PAM_PERM_DENIED;
+ ldap_perror(session->ld, "ldap_parse_result error");
}
- else
+
+ if( code != LDAP_SUCCESS )
{
- ber_bvfree (retdata);
- ber_memfree (retoid);
- rc = PAM_SUCCESS;
+ printf( "Result: %s (%d)\n", ldap_err2string( code ), code );
}
#else
rc = PAM_SERVICE_ERR;
@@ -3420,6 +3423,8 @@
else
{
int errcode;
+ errcode = ldap_bind_s( session->ld, session->conf->binddn,
+session->conf->bindpw, LDAP_AUTH_SIMPLE );
/* update shadowLastChange; may fail if not shadowAccount */
snprintf (buf, sizeof buf, "%ld", time (NULL) / (60 * 60 * 24));
Re: LDAP / passwd
> Bjoern Schmidt wrote:
> > [EMAIL PROTECTED] wrote:
> >
> >> Deine /etc/pam.d/passwd hat bei mir tatellos funktioniert.
> >
> >
> > Hmm, ich kann trotz der pam_cracklib.so unsichere Passworte wie
> > 'f' setzen. Ist das bei Dir auch so? Bitte teste das mal.
>
> Aber nur als root. Vielleicht ist das so in Ordnung...
>
> --
> Mit freundlichen Gruessen
> Bjoern Schmidt
Hi Björn
Das stimmt, ich kann als root unbeachtet der cracklib die passwörter
ändern.
Der meckert zwar beim erstellen rum wenn er seine wörterbuchdateien
durchforstet, macht es aber dann trotzdem. ich habe Dir mal die
geschehnisse mit strace verfolgt und den relevanten Teil angehangen.
--
Enter login(LDAP) password:
New UNIX password:
open("/var/cache/cracklib/cracklib_dict.pwd", O_RDONLY) = 6
open("/var/cache/cracklib/cracklib_dict.pwi", O_RDONLY) = 7
open("/var/cache/cracklib/cracklib_dict.hwm", O_RDONLY) = 8
BAD PASSWORD: it's WAY too short
Retype new UNIX password:
LDAP password information changed for Jerome
passwd: password updated successfully
-
als user funktioniert nur ein Passwort, das von der cracklib als sicher
erachtet wird
Weiterhin meine slapd.conf
-
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/automount.schema
schemacheck on
pidfile /var/run/slapd/slapd.pid
argsfile/var/run/slapd.args
loglevel0
modulepath /usr/lib/ldap
moduleload back_ldbm
backend ldbm
databaseldbm
suffix "dc=debian,dc=homezone,dc=sgh"
directory "/var/lib/ldap"
index uid,cn,sn pres,eq
index objectClass eq
lastmod on
sizelimit -1
TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCertificateFile /etc/ldap/ssl/server.crt
TLSCertificateKeyFile /etc/ldap/ssl/server.key
TLSCACertificateFile/etc/ssl/certs/rootCA.crt
TLSVerifyClient never
access to attribute=userPassword
by dn="cn=admin,dc=debian,dc=homezone,dc=sgh" write
by anonymous auth
by self write
by * none
access to *
by dn="cn=admin,dc=debian,dc=homezone,dc=sgh" write
by * read
--
versionsnummer vom slapd = 2.1.30-3
viel erfolg
Jerome
Re: LDAP / passwd
Bjoern Schmidt wrote: [EMAIL PROTECTED] wrote: Deine /etc/pam.d/passwd hat bei mir tatellos funktioniert. Hmm, ich kann trotz der pam_cracklib.so unsichere Passworte wie 'f' setzen. Ist das bei Dir auch so? Bitte teste das mal. Aber nur als root. Vielleicht ist das so in Ordnung... -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP / passwd
[EMAIL PROTECTED] wrote: Deine /etc/pam.d/passwd hat bei mir tatellos funktioniert. Hmm, ich kann trotz der pam_cracklib.so unsichere Passworte wie 'f' setzen. Ist das bei Dir auch so? Bitte teste das mal. -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP / passwd
[EMAIL PROTECTED] wrote: Hattest Du das jetzt hinbekommen ? Ja, es läuft jetzt nachdem ich einen Patch für pam_ldap.c geschrieben habe. Deine /etc/pam.d/passwd hat bei mir tatellos funktioniert. Meine eingesetzte libpam_ldap version auf dem client ist die 1.69-1. Die habe ich auch. Hast Du mal dein TLS (ich denke mal das du verschlüsselst arbeitest) abgeschaltet, und mit etherreal die Pakete analysiert ? Habe den slapd im debug Modus die Pakete anzeigen lassen, die waren alle korrekt. Vielleicht ist das ein server problem? Keine Ahnung. Muß das Problem noch etwas genauer analysieren bevor ich den patch veröffentliche. Kannst Du mir bitte Deine slapd.conf (ohne passwds) zumailen? Welche Versionsnummer trägt Dein slapd? -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP / passwd
Frank Tammer wrote: Habe alle Versionen ab 150 von padl.com getestet, kein Erfolg. Dann muà ich halt den slapd testweise mal downgraden... Mmmhh, sehr sehr merkwuerdig das Problem. Hat es was gebracht den slapd zu downgraden? Ich habe es gar nicht erst versucht... Also ich bin der Meinung das es anscheinend doch irgendwo an der Konfiguration haengt, da anscheinend nicht viele das Problem haben. Ich habe aber bei uns schon alles mehrmals durchgeschaut und nichts entdeckt auch nicht in den Log's vom slapd und slurpd, da sieht alles normal aus. Bei mir laeuft auch sarge mit slapd/pam_ldap/libnss-ldap und ssl. LÃuft es bei Dir denn? Bei mir jetzt ja, habe einen Patch fÃr das pam Module geschrieben. -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP / passwd
> Hi Jerome, > > danke für die Antwort ;) > > [EMAIL PROTECTED] wrote: > > Ich kenne dieses Problem zwar nicht, jedoch scheint es so, als ob in der > > /etc/pam.d/passwd was nicht stimmt. Hier mal meine > > --- > > auth sufficient /lib/security/pam_ldap.so > > auth required /lib/security/pam_unix_auth.so use_first_pass > > accountsufficient /lib/security/pam_ldap.so > > accountrequired /lib/security/pam_unix_acct.so > > password required /lib/security/pam_cracklib.so retry=3 > > password sufficient /lib/security/pam_ldap.so > > password required /lib/security/pam_pwdb.so try_first_pass > > -- > > Ich habe mal Deine Config ausprobiert, brachte aber nichts. Im > Gegenteil... > > [EMAIL PROTECTED]:/etc/pam.d# passwd devel023 > Enter login(LDAP) password: > New UNIX password: > Retype new UNIX password: > New password: > Re-enter new password: > LDAP password information update failed: Unknown error > use bind to verify old password > passwd: Permission denied > > > Wenn ich auf diese gleiche Art das Passwort ändere bekomme ich auch einen > > > > Fehler angezeigt, jedoch mit dem Unterschied, dass ich es ändern konnte. > > Kannste meine pam-Config mal testen? Von der weiß ich dass sie > grundsätzlich funktioniert: > > password required /lib/security/pam_cracklib.so retry=3 minlen=6 difok=3 > password sufficient /lib/security/pam_ldap.so use_first_pass use_authtok > password sufficient /lib/security/pam_unix.so use_first_pass use_authtok > obscure md5 shadow > password required /lib/security/pam_deny.so > > > LDAP password information changed for Jerome > > passwd: Authentication token manipulation error > > > > Im übrigen ist die passwd bzw.chpasswd Version gegenüber zu SuSE 9.1 (der > > bei mir ebenfalls als ldapclient eingerichtet ist) funktional enorm > > beschnitten. bei SuSE funktioniert zb. ein > > #passwd -D "cn=admin,dc=deinebase" Jerome > > oder noch komfortabler > > #echo "Jerome:neuespasswort" | chpasswd -D "cn=admin,dc=deinebase" > > ---danach musst Du nur noch dein admin passwort eingeben > > Na ja, ldappasswd würde ja auch gehen. Aber ich "passwd username" wäre > mir lieber (zumal es schonmal lief). > > -- > Mit freundlichen Gruessen > Bjoern Schmidt Hallo Björn Hattest Du das jetzt hinbekommen ? Deine /etc/pam.d/passwd hat bei mir tatellos funktioniert. Meine eingesetzte libpam_ldap version auf dem client ist die 1.69-1. Hast Du mal dein TLS (ich denke mal das du verschlüsselst arbeitest) abgeschaltet, und mit etherreal die Pakete analysiert ? Vielleicht ist das ein server problem? Ich hatte mir mal mit dem passwd kommando meine datenbank (bdb) zerhauen. Da habe ich just auf diesem ldaplient (sarge) mit useradd einen benutzer "jerome" anlgelegt (local, mit eigenem Homeverzeichnis). Ein Benutzer "Jerome" (mit großem J) existierte zu diesem Zeitpunkt auch in der Ldapdatenbank. Bis dahin war alles normal, jedoch ein "passwd jerome" ausgeführt auf dem client brachte die Serverlast auf 100%. Ein neustart des ldapservers (reboot der maschine) brachte auch keine Abhilfe (kurz danach wieder 100%), "top" hatte ja immer noch den slapd als verursacher ausgemacht. Das Neueinspielen meiner Sicherung half letztendlich. Ich habe dann nach einigen googlen mit "dpkg-reconfigure slapd" die datenbank auf ldbm umgestellt. Soll performanter und fehlerunanfälliger sein. Jedoch hat sich diese Meinung nur auf Erfahrungen gestützt. Jerome
Re: LDAP / passwd
> Hi Jerome, > > danke für die Antwort ;) > > [EMAIL PROTECTED] wrote: > > Ich kenne dieses Problem zwar nicht, jedoch scheint es so, als ob in der > > /etc/pam.d/passwd was nicht stimmt. Hier mal meine > > --- > > auth sufficient /lib/security/pam_ldap.so > > auth required /lib/security/pam_unix_auth.so use_first_pass > > accountsufficient /lib/security/pam_ldap.so > > accountrequired /lib/security/pam_unix_acct.so > > password required /lib/security/pam_cracklib.so retry=3 > > password sufficient /lib/security/pam_ldap.so > > password required /lib/security/pam_pwdb.so try_first_pass > > -- > > Ich habe mal Deine Config ausprobiert, brachte aber nichts. Im > Gegenteil... > > [EMAIL PROTECTED]:/etc/pam.d# passwd devel023 > Enter login(LDAP) password: > New UNIX password: > Retype new UNIX password: > New password: > Re-enter new password: > LDAP password information update failed: Unknown error > use bind to verify old password > passwd: Permission denied > > > Wenn ich auf diese gleiche Art das Passwort ändere bekomme ich auch einen > > > > Fehler angezeigt, jedoch mit dem Unterschied, dass ich es ändern konnte. > > Kannste meine pam-Config mal testen? Von der weiß ich dass sie > grundsätzlich funktioniert: > > password required /lib/security/pam_cracklib.so retry=3 minlen=6 difok=3 > password sufficient /lib/security/pam_ldap.so use_first_pass use_authtok > password sufficient /lib/security/pam_unix.so use_first_pass use_authtok > obscure md5 shadow > password required /lib/security/pam_deny.so > > > LDAP password information changed for Jerome > > passwd: Authentication token manipulation error > > > > Im übrigen ist die passwd bzw.chpasswd Version gegenüber zu SuSE 9.1 (der > > bei mir ebenfalls als ldapclient eingerichtet ist) funktional enorm > > beschnitten. bei SuSE funktioniert zb. ein > > #passwd -D "cn=admin,dc=deinebase" Jerome > > oder noch komfortabler > > #echo "Jerome:neuespasswort" | chpasswd -D "cn=admin,dc=deinebase" > > ---danach musst Du nur noch dein admin passwort eingeben > > Na ja, ldappasswd würde ja auch gehen. Aber ich "passwd username" wäre > mir lieber (zumal es schonmal lief). > > -- > Mit freundlichen Gruessen > Bjoern Schmidt Hallo Björn Hattest Du das jetzt hinbekommen ? Deine /etc/pam.d/passwd hat bei mir tatellos funktioniert. Meine eingesetzte libpam_ldap version auf dem client ist die 1.69-1. Hast Du mal dein TLS (ich denke mal das du verschlüsselst arbeitest) abgeschaltet, und mit etherreal die Pakete analysiert ? Vielleicht ist das ein server problem? Ich hatte mir mal mit dem passwd kommando meine datenbank (bdb) zerhauen. Da habe ich just auf diesem ldaplient (sarge) mit useradd einen benutzer "jerome" anlgelegt (local, mit eigenem Homeverzeichnis). Ein Benutzer "Jerome" (mit großem J) existierte zu diesem Zeitpunkt auch in der Ldapdatenbank. Bis dahin war alles normal, jedoch ein "passwd jerome" ausgeführt auf dem client brachte die Serverlast auf 100%. Ein neustart des ldapservers (reboot der maschine) brachte auch keine Abhilfe (kurz danach wieder 100%), "top" hatte ja immer noch den slapd als verursacher ausgemacht. Das Neueinspielen meiner Sicherung half letztendlich. Ich habe dann nach einigen googlen mit "dpkg-reconfigure slapd" die datenbank auf ldbm umgestellt. Soll performanter und fehlerunanfälliger sein. Jedoch hat sich diese Meinung nur auf Erfahrungen gestützt. Jerome
Re: LDAP / passwd
Das einzige was ich habe ist die Ausgabe von strace:
Vielleicht kann daraus einer erkennen was schiefgeht
:
:
close(6)= 0
open("/usr/lib/gconv/gconv-modules.cache", O_RDONLY) = -1 ENOENT (No
such file or directory)
open("/usr/lib/gconv/gconv-modules", O_RDONLY) = 6
fstat64(6, {st_mode=S_IFREG|0644, st_size=45278, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1,
0) = 0x404d1000
read(6, "# GNU libc iconv configuration.\n"..., 4096) = 4096
read(6, ".B1.002//\nalias\tJS//\t\t\tJUS_I.B1."..., 4096) = 4096
read(6, "859-3\t1\nmodule\tINTERNAL\t\tISO-885"..., 4096) = 4096
read(6, "9-14//\nalias\tLATIN8//\t\tISO-8859-"..., 4096) = 4096
read(6, "CSEBCDICES//\t\tEBCDIC-ES//\nalias\t"..., 4096) = 4096
read(6, "IBM284//\nalias\tEBCDIC-CP-ES//\t\tI"..., 4096) = 4096
read(6, "ias\t864//\t\t\tIBM864//\nalias\tCSIBM"..., 4096) = 4096
read(6, "\tIBM937\t\t1\nmodule\tINTERNAL\t\tIBM9"..., 4096) = 4096
read(6, "UC-JP//\nmodule\tEUC-JP//\t\tINTERNA"..., 4096) = 4096
read(6, "143IECP271//\tIEC_P27-1//\nalias\tI"..., 4096) = 4096
read(6, "\nmodule\tINTERNAL\t\tISO_10367-BOX/"..., 4096) = 4096
read(6, "\t\tto\t\t\tmodule\t\tcost\nmodule\tShift"..., 4096) = 222
read(6, "", 4096) = 0
close(6)
munmap(0x404d1000, 4096)= 0
open("/usr/lib/gconv/ISO8859-1.so", O_RDONLY) = 6
read(6, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0`\6\0\000"...,
512) = 512
fstat64(6, {st_mode=S_IFREG|0644, st_size=5920, ...}) = 0
old_mmap(NULL, 8860, PROT_READ|PROT_EXEC, MAP_PRIVATE, 6, 0) =
0x404d1000
old_mmap(0x404d3000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED,
6, 0x1000) = 0x404d3000
close(6)= 0
brk(0) = 0x80dd000
brk(0x8103000) = 0x8103000
write(2, "passwd: Permission denied\n", 26) = 26
:
:
Frank
Am Di, den 30.11.2004 schrieb Frank Tammer um 8:03:
> > Habe alle Versionen ab 150 von padl.com getestet, kein Erfolg.
> > Dann muà ich halt den slapd testweise mal downgraden...
>
> Mmmhh, sehr sehr merkwuerdig das Problem.
> Hat es was gebracht den slapd zu downgraden?
>
> Also ich bin der Meinung das es anscheinend doch
> irgendwo an der Konfiguration haengt, da anscheinend
> nicht viele das Problem haben. Ich habe aber bei uns schon
> alles mehrmals durchgeschaut und nichts
> entdeckt auch nicht in den Log's vom slapd und slurpd, da
> sieht alles normal aus.
>
> Bei mir laeuft auch sarge mit slapd/pam_ldap/libnss-ldap und ssl.
>
> Gruss
> Frank
>
>
signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil
Re: LDAP / passwd
> Habe alle Versionen ab 150 von padl.com getestet, kein Erfolg. > Dann muà ich halt den slapd testweise mal downgraden... Mmmhh, sehr sehr merkwuerdig das Problem. Hat es was gebracht den slapd zu downgraden? Also ich bin der Meinung das es anscheinend doch irgendwo an der Konfiguration haengt, da anscheinend nicht viele das Problem haben. Ich habe aber bei uns schon alles mehrmals durchgeschaut und nichts entdeckt auch nicht in den Log's vom slapd und slurpd, da sieht alles normal aus. Bei mir laeuft auch sarge mit slapd/pam_ldap/libnss-ldap und ssl. Gruss Frank signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: LDAP / passwd
Bjoern Schmidt wrote: Frank Tammer wrote: Ich kenne das Problem, weiss aber keine Loesung ausser die alte Version von libpam-ldap einzuspielen. libpam-ldap_164-2_i386.deb [...] Ich installiere das gleich nochmal. Wenn es lÃuft hol ich mir die Sourcen und mach nen Patch... Habe alle Versionen ab 150 von padl.com getestet, kein Erfolg. Dann muà ich halt den slapd testweise mal downgraden... -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP / passwd
Frank Tammer wrote: Ich kenne das Problem, weiss aber keine Loesung ausser die alte Version von libpam-ldap einzuspielen. libpam-ldap_164-2_i386.deb "Â$%&&/&$% Hey, das hab ich doch auch schon versucht, aber ohne Erfolg! Das Problem trat mit dem Update von libpam-ldap auf Eine andere Loesung wuerde mich auch interessieren. Ich installiere das gleich nochmal. Wenn es lÃuft hol ich mir die Sourcen und mach nen Patch... Danke!!! -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP / passwd
Ich kenne das Problem, weiss aber keine Loesung ausser die alte Version von libpam-ldap einzuspielen. libpam-ldap_164-2_i386.deb Das Problem trat mit dem Update von libpam-ldap auf Eine andere Loesung wuerde mich auch interessieren. Gruss Frank Am Mo, den 29.11.2004 schrieb Bjoern Schmidt um 15:06: > Hi Jerome, > > danke fÃr die Antwort ;) > > [EMAIL PROTECTED] wrote: > > Ich kenne dieses Problem zwar nicht, jedoch scheint es so, als ob in der > > /etc/pam.d/passwd was nicht stimmt. Hier mal meine > > --- > > auth sufficient /lib/security/pam_ldap.so > > auth required /lib/security/pam_unix_auth.so use_first_pass > > accountsufficient /lib/security/pam_ldap.so > > accountrequired /lib/security/pam_unix_acct.so > > password required /lib/security/pam_cracklib.so retry=3 > > password sufficient /lib/security/pam_ldap.so > > password required /lib/security/pam_pwdb.so try_first_pass > > -- > > Ich habe mal Deine Config ausprobiert, brachte aber nichts. Im > Gegenteil... > > [EMAIL PROTECTED]:/etc/pam.d# passwd devel023 > Enter login(LDAP) password: > New UNIX password: > Retype new UNIX password: > New password: > Re-enter new password: > LDAP password information update failed: Unknown error > use bind to verify old password > passwd: Permission denied > > > Wenn ich auf diese gleiche Art das Passwort Ãndere bekomme ich auch einen > > > > Fehler angezeigt, jedoch mit dem Unterschied, dass ich es Ãndern konnte. > > Kannste meine pam-Config mal testen? Von der weià ich dass sie > grundsÃtzlich funktioniert: > > password required /lib/security/pam_cracklib.so retry=3 minlen=6 difok=3 > password sufficient /lib/security/pam_ldap.so use_first_pass use_authtok > password sufficient /lib/security/pam_unix.so use_first_pass use_authtok > obscure md5 shadow > password required /lib/security/pam_deny.so > > > LDAP password information changed for Jerome > > passwd: Authentication token manipulation error > > > > Im Ãbrigen ist die passwd bzw.chpasswd Version gegenÃber zu SuSE 9.1 (der > > bei mir ebenfalls als ldapclient eingerichtet ist) funktional enorm > > beschnitten. bei SuSE funktioniert zb. ein > > #passwd -D "cn=admin,dc=deinebase" Jerome > > oder noch komfortabler > > #echo "Jerome:neuespasswort" | chpasswd -D "cn=admin,dc=deinebase" > > ---danach musst Du nur noch dein admin passwort eingeben > > Na ja, ldappasswd wÃrde ja auch gehen. Aber ich "passwd username" wÃre > mir lieber (zumal es schonmal lief). > > -- > Mit freundlichen Gruessen > Bjoern Schmidt > signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: LDAP / passwd
Hi Jerome, danke für die Antwort ;) [EMAIL PROTECTED] wrote: Ich kenne dieses Problem zwar nicht, jedoch scheint es so, als ob in der /etc/pam.d/passwd was nicht stimmt. Hier mal meine --- auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_unix_auth.so use_first_pass accountsufficient /lib/security/pam_ldap.so accountrequired /lib/security/pam_unix_acct.so password required /lib/security/pam_cracklib.so retry=3 password sufficient /lib/security/pam_ldap.so password required /lib/security/pam_pwdb.so try_first_pass -- Ich habe mal Deine Config ausprobiert, brachte aber nichts. Im Gegenteil... [EMAIL PROTECTED]:/etc/pam.d# passwd devel023 Enter login(LDAP) password: New UNIX password: Retype new UNIX password: New password: Re-enter new password: LDAP password information update failed: Unknown error use bind to verify old password passwd: Permission denied Wenn ich auf diese gleiche Art das Passwort ändere bekomme ich auch einen Fehler angezeigt, jedoch mit dem Unterschied, dass ich es ändern konnte. Kannste meine pam-Config mal testen? Von der weiß ich dass sie grundsätzlich funktioniert: password required /lib/security/pam_cracklib.so retry=3 minlen=6 difok=3 password sufficient /lib/security/pam_ldap.so use_first_pass use_authtok password sufficient /lib/security/pam_unix.so use_first_pass use_authtok obscure md5 shadow password required /lib/security/pam_deny.so LDAP password information changed for Jerome passwd: Authentication token manipulation error Im übrigen ist die passwd bzw.chpasswd Version gegenüber zu SuSE 9.1 (der bei mir ebenfalls als ldapclient eingerichtet ist) funktional enorm beschnitten. bei SuSE funktioniert zb. ein #passwd -D "cn=admin,dc=deinebase" Jerome oder noch komfortabler #echo "Jerome:neuespasswort" | chpasswd -D "cn=admin,dc=deinebase" ---danach musst Du nur noch dein admin passwort eingeben Na ja, ldappasswd würde ja auch gehen. Aber ich "passwd username" wäre mir lieber (zumal es schonmal lief). -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP / passwd
> Kennt jemand dieses Problem und weiß es zu lösen?: > > gigabyte:~# passwd devel023 > Enter login(LDAP) password: > New UNIX password: > Retype new UNIX password: > LDAP password information update failed: Unknown error > use bind to verify old password > passwd: Permission denied > > Im August/September lief es noch, an der Konfig hat sich seitdem > nichts geändert. Habe sarge mit slapd/pam_ldap/libnss-ldap. > Jeder hat Schreibrechte im LDAP. > > -- > Mit freundlichen Gruessen > Bjoern Schmidt Hi Björn Ich kenne dieses Problem zwar nicht, jedoch scheint es so, als ob in der /etc/pam.d/passwd was nicht stimmt. Hier mal meine --- auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_unix_auth.so use_first_pass accountsufficient /lib/security/pam_ldap.so accountrequired /lib/security/pam_unix_acct.so password required /lib/security/pam_cracklib.so retry=3 password sufficient /lib/security/pam_ldap.so password required /lib/security/pam_pwdb.so try_first_pass -- Wenn ich auf diese gleiche Art das Passwort ändere bekomme ich auch einen Fehler angezeigt, jedoch mit dem Unterschied, dass ich es ändern konnte. LDAP password information changed for Jerome passwd: Authentication token manipulation error Im übrigen ist die passwd bzw.chpasswd Version gegenüber zu SuSE 9.1 (der bei mir ebenfalls als ldapclient eingerichtet ist) funktional enorm beschnitten. bei SuSE funktioniert zb. ein #passwd -D "cn=admin,dc=deinebase" Jerome oder noch komfortabler #echo "Jerome:neuespasswort" | chpasswd -D "cn=admin,dc=deinebase" ---danach musst Du nur noch dein admin passwort eingeben Jerome
LDAP / passwd
Kennt jemand dieses Problem und weiß es zu lösen?: gigabyte:~# passwd devel023 Enter login(LDAP) password: New UNIX password: Retype new UNIX password: LDAP password information update failed: Unknown error use bind to verify old password passwd: Permission denied Im August/September lief es noch, an der Konfig hat sich seitdem nichts geändert. Habe sarge mit slapd/pam_ldap/libnss-ldap. Jeder hat Schreibrechte im LDAP. -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP passwd
Frank Tammer wrote: Zeig uns doch bitte zuerst noch den entsprechenden Auszug aus /var/log/auth.log. HÃchstwhrscheinlich ist die Anbindung an deinen LDAP Server nicht in Ordnung, aber ohne Logfiles kann man nur spekulieren. Sep 20 12:57:06 cotton passwd[16716]: pam_ldap: ldap_extended_operation_s Server is unwilling to perform Frank Das alleine hilft so nicht weiter... Um herauszufinden woran das liegt, brÃuchte man noch deine /etc/pam.d/passwd Datei, deine /etc/pam_ldap.conf Datei und die slapd.conf Datei deines LDAP servers (falls mÃglich). ZusÃtzlich kÃnntest du bei der pam_ldap.so linie in /etc/pam.d/passwd noch die option debug setzen, um allenfalls mehr Infos Ãber das Scheitern zu bekommen. GrundsÃtzlich ist dies eher ein Fall fÃr die Pam LDAP Mailingliste ([EMAIL PROTECTED]). Am besten du postest dein Problem dort mit allen angegebenen Dateien. Bei [EMAIL PROTECTED] hat es ausschliesslich ehemalige Leidensgenossen von dir. Cyrill -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP passwd
Frank Tammer wrote: Sowohl der LDAP-Client und Server laufen mit Debian Testing. Hab ich auch, beide mit 164-2. Kann mir eventuell jemand sagen ob er aehnliches beobachtet hat? Nö Oder irgendwie etwas in einer Config Datei geaendert werden muss? In meiner Config steht nichts aussergewöhnliches drin. -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP passwd
Frank Tammer wrote: Hallo miteinander, nach dem Update von libpam-ldap von Version 164-2 auf 169-1 (Testing) kann ich das Passwort nicht mehr aendern. Ich erhalte folgende Fehlermeldung: Enter login(LDAP) password: New password: Re-enter new password: LDAP password information update failed: Unknown error use bind to verify old password passwd: Permission denied Wenn ich auf Version 164-2 zurueckwechsele funktioniert alles wieder. Sowohl der LDAP-Client und Server laufen mit Debian Testing. Kann mir eventuell jemand sagen ob er aehnliches beobachtet hat? Oder irgendwie etwas in einer Config Datei geaendert werden muss? Viel Dank Gruss Frank Zeig uns doch bitte zuerst noch den entsprechenden Auszug aus /var/log/auth.log. Höchstwhrscheinlich ist die Anbindung an deinen LDAP Server nicht in Ordnung, aber ohne Logfiles kann man nur spekulieren. Cyrill -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
LDAP passwd
Hallo miteinander, nach dem Update von libpam-ldap von Version 164-2 auf 169-1 (Testing) kann ich das Passwort nicht mehr aendern. Ich erhalte folgende Fehlermeldung: Enter login(LDAP) password: New password: Re-enter new password: LDAP password information update failed: Unknown error use bind to verify old password passwd: Permission denied Wenn ich auf Version 164-2 zurueckwechsele funktioniert alles wieder. Sowohl der LDAP-Client und Server laufen mit Debian Testing. Kann mir eventuell jemand sagen ob er aehnliches beobachtet hat? Oder irgendwie etwas in einer Config Datei geaendert werden muss? Viel Dank Gruss Frank signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: LDAP passwd Problem.
> Hmm, es gibt da so Sachen wie directory_administrator, ein > nettes Gnome Programm, oder kdiradm etwas ähnliches für > KDE. Aber das ultimative Tool habe ich auch noch nicht > gefunden. > > - Markus > Erstmal vielen Dank. Das Tool directory_administrator macht einen guten Eindruck. Ich hätte da noch eine kleine Bitte, könntet ihr ein Blick werfen auf den LDAP-Aufbauen und sagen was ihr darüber denkt? Das Verzeichnis hat folgenden Aufbau: dc=digi (wurzel) | |- ou=Personal ||- ou=Angestellte |'- ou=Studenten | '- cn=Eduard Fuchs '- ou=NSS |- ou=Accounts ||- ou=user (Normale Benutzer-Accounts) ||'- uid=efuchs ||- ou=admin (Accounts für Administratoren) ||- ou=machine (für NT-Rechner-Accounts) |'- ou=system (für Systemspezifische Accounts) |- ou=Groups ||- ou=system (Systemspezifische Gruppen) |'- ou=project (Projektbezogene Gruppen) '- ou=Services Wie es zu sehen ist, habe die "Personen" von ihren "Accounts" getrennt. Das hat in meinen Augen den vorteil, dass man Personen in den LDAP-Eintragen kann, die nicht zwansläufig einen Account besitzen müssen. Aber ich kann mangels der Erfahrung nicht abschätzen, ob ich in Zukunf Problemme mit so einer Aufteilung bekommen werde. Der mehr Aufwand beim Pflegen der Daten wäre zu verkraften, wenn man berücksichtigt das es sich dabei um eine Abteilung mit (viel) weniger als 20 Personen handelt. Aber es gibt oft Personen (studenten), die nur kurzfristig in der Abteilung beschäftigt werden. mfg Eduard Fuchs -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP passwd Problem.
On Thu, 10 Oct 2002, [EMAIL PROTECTED] wrote: > Jetzt zurück zu dem LDAP-Problem. ES LÄUFT !!! > > Angeregt von deinen hienweisen habe ich angefangen > systematisch einträge von der /etc/pam.d/passwd-Datei > zu entfernen. Anscheinen lag es an dem Parameter > 'use_first_pass'. Die Datei sieht etzt so aus: > > auth sufficient pam_ldap.so > auth required pam_unix.so nullok > accountsufficient pam_ldap.so > accountrequired pam_unix.so > #password sufficient pam_ldap.so use_first_pass use_authtok > password sufficient pam_ldap.so > password required pam_unix.so nullok use_authtok > sessionrequired pam_unix.so > > Jetzt hätte ich noch eine kleine Frage: Wie kann ich einen > neuen User anlegen (mit einem Heimatverzeichnis versteht > sich)? Die Unix-Tools useradd und userdel funktionieren ja > wahrscheinlich nicht mehr. Hmm, es gibt da so Sachen wie directory_administrator, ein nettes Gnome Programm, oder kdiradm etwas ähnliches für KDE. Aber das ultimative Tool habe ich auch noch nicht gefunden. - Markus -- "If it dies, it's biology. If it blows up, it's chemistry, and if it doesn't work, it's physics." -- University bathroom graffito msg21182/pgp0.pgp Description: PGP signature
Re: LDAP passwd Problem.
Markus Hubig wrote: > On Thu, 10 Oct 2002, [EMAIL PROTECTED] wrote: > > >>Markus Hubig wrote: >> >>>| $ cat /etc/pam.d/passwd |egrep -v '^#' >>>| >>>| password sufficient pam_ldap.so >>>| password required pam_unix.so nullok obscure min=4 max=8 md5 >> >>Bei mir sieht die /etc/pam.d/passwd so aus: >> >>auth sufficient pam_ldap.so >>auth required pam_unix.so nullok use_first_pass >>accountsufficient pam_ldap.so >>accountrequired pam_unix.so >>password required pam_ldap.so use_first_pass use_authtok >>password required pam_unix.so nullok use_first_pass use_authtok >>sessionrequired pam_unix.so > > > Schau doch mal in der manpage zu 'pam.conf' nach, was die > Management Groups 'auth', 'account' und 'session' eigentlich > bedeuten. Diese sind in der pam-Datei des passwd Programms > IMHO ziemlich unnötig! > Habe keine Ahnung, ob die da rein müssen. Sie waren in den Beispielartikel drin also habe ich sie auch rein gemacht. Werde bei gelegentlich mal dem PAM auf den Grund gehen. > Wenn Du sowohl pam_ldap, als auch pam_unix als 'required' > angibst muss man zum einen das Passwort bei jeder Änderung 2x > eingeben, zum anderen siehst Du ziemlich alt aus, wenn der > LDAP-Server mal nicht zu erreichen ist, und dein Passwort ist > abgelaufen ... aber das ist Geschmackssache. > Danke für den Tip. > > Da gibt es offensichtlich ein Verständnisproblem. *Shadow* > Passwörter bedeuten, dass die Passwörter nicht in der Datei > /etc/passwd abgespeichert werden, sondern in der extra Datei > /etc/shadow. *MD5* Passwörter bedeuten, dass die Passwörter > _in_ der Datei /etc/shadow mit dem MD5-Algo. _verschüsselt_ > werden. Na ja, wie gesagt ich habe mit der ganzen Authentifizierungs-Kiste bis jetzt nichts zu tuhen gehabt. Es lief ja alles wunderbar mit den passwd Dateien. > >>Vieleicht funktioniert es deshalb nicht? > > > Ne, das glaube ich nicht. Du hast als Passwort Format sicher > Crypt angegeben oder? Dann wird automatisch der richtige Algo. > benutzt wenn die Passwörter überprüft werden. > Bin ganz deiner Meinung. > -Markus > > PS.: Realname ist eigentlich eine Sache der Höflichkeit. Geht > auch mit dem GMX Webmailer! > Geht Leider nicht. Ich habe den Account auf einen Xxx Yyy Namen (oder sowas ähnliches) bei GMX angelegt. Und mein Mozilla stellt sich bei der auslieferung der Nachrichten momentan quer, wodurch ich gezwungen bin auf den Web-Client von GMX auszuweichen. Also möchte ich mich bei allen für diese Unhöfflichkeit entschuldigen. Jetzt zurück zu dem LDAP-Problem. ES LÄUFT !!! Angeregt von deinen hienweisen habe ich angefangen systematisch einträge von der /etc/pam.d/passwd-Datei zu entfernen. Anscheinen lag es an dem Parameter 'use_first_pass'. Die Datei sieht etzt so aus: auth sufficient pam_ldap.so auth required pam_unix.so nullok accountsufficient pam_ldap.so accountrequired pam_unix.so #password sufficient pam_ldap.so use_first_pass use_authtok password sufficient pam_ldap.so password required pam_unix.so nullok use_authtok sessionrequired pam_unix.so Jetzt hätte ich noch eine kleine Frage: Wie kann ich einen neuen User anlegen (mit einem Heimatverzeichnis versteht sich)? Die Unix-Tools useradd und userdel funktionieren ja wahrscheinlich nicht mehr. mfg Eduard Fuchs -- +++ GMX - Mail, Messaging & more http://www.gmx.net +++ NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen! -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP passwd Problem.
On Thu, 10 Oct 2002, [EMAIL PROTECTED] wrote: > Markus Hubig wrote: > > > > | $ cat /etc/pam.d/passwd |egrep -v '^#' > > | > > | password sufficient pam_ldap.so > > | password required pam_unix.so nullok obscure min=4 max=8 md5 > > Bei mir sieht die /etc/pam.d/passwd so aus: > > auth sufficient pam_ldap.so > auth required pam_unix.so nullok use_first_pass > accountsufficient pam_ldap.so > accountrequired pam_unix.so > password required pam_ldap.so use_first_pass use_authtok > password required pam_unix.so nullok use_first_pass use_authtok > sessionrequired pam_unix.so Schau doch mal in der manpage zu 'pam.conf' nach, was die Management Groups 'auth', 'account' und 'session' eigentlich bedeuten. Diese sind in der pam-Datei des passwd Programms IMHO ziemlich unnötig! Wenn Du sowohl pam_ldap, als auch pam_unix als 'required' angibst muss man zum einen das Passwort bei jeder Änderung 2x eingeben, zum anderen siehst Du ziemlich alt aus, wenn der LDAP-Server mal nicht zu erreichen ist, und dein Passwort ist abgelaufen ... aber das ist Geschmackssache. > Ich benutze aber keine MD5 passwörter (denke ich, ich > glaube mich errienern zu können, dass das System bei der > Installation danach gefragt hat, welche Passwörter man > benutzen möchte und ich habe "shadow" gewählt.) Da gibt es offensichtlich ein Verständnisproblem. *Shadow* Passwörter bedeuten, dass die Passwörter nicht in der Datei /etc/passwd abgespeichert werden, sondern in der extra Datei /etc/shadow. *MD5* Passwörter bedeuten, dass die Passwörter _in_ der Datei /etc/shadow mit dem MD5-Algo. _verschüsselt_ werden. > Vieleicht funktioniert es deshalb nicht? Ne, das glaube ich nicht. Du hast als Passwort Format sicher Crypt angegeben oder? Dann wird automatisch der richtige Algo. benutzt wenn die Passwörter überprüft werden. -Markus PS.: Realname ist eigentlich eine Sache der Höflichkeit. Geht auch mit dem GMX Webmailer! -- UNIX is user friendly. It's just selective who the friends are. msg21170/pgp0.pgp Description: PGP signature
Re: LDAP passwd Problem.
Markus Hubig wrote: > On Thu, 10 Oct 2002, [EMAIL PROTECTED] wrote: > > >>ich versucheseit einigen Tageneine zentralle >>Benutzerverwaltung mit LDAP einzurichten. Als vorlage habe >>ich die beiden Artikel in der iX und Linux-Magazin (jeweils >>04/2002) verwendet. >> >>Ich habe einen Testbenutzer unter LDAP angelegt. Mit diesem >>Testbenutzer kann ich mich auf der Maschiene einloggen, >>aber ich kann nicht das Passwort mit dem Befehl "passwd" >>ändern. Ich habe leider keine grossen Erfahrungen mit den >>PAM-Modulen und komme nicht mehr weiter. > > >>[ - log stuff - ] > > >>Kann jemand damit was anfangen? > > > Nee, aber ich kann dir sagen was ich in meine Config Dateien > geschrieben habe damit es funzt... :-) > > | $ cat /etc/pam.d/passwd |egrep -v '^#' > | > | password sufficient pam_ldap.so > | password required pam_unix.so nullok obscure min=4 max=8 md5 Bei mir sieht die /etc/pam.d/passwd so aus: auth sufficient pam_ldap.so auth required pam_unix.so nullok use_first_pass accountsufficient pam_ldap.so accountrequired pam_unix.so password required pam_ldap.so use_first_pass use_authtok password required pam_unix.so nullok use_first_pass use_authtok sessionrequired pam_unix.so Ich benutze aber keine MD5 passwörter (denke ich, ich glaube mich errienern zu können, dass das System bei der Installation danach gefragt hat, welche Passwörter man benutzen möchte und ich habe "shadow" gewählt.) Vieleicht funktioniert es deshalb nicht? mfg Eduard Fuchs -- +++ GMX - Mail, Messaging & more http://www.gmx.net +++ NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen! -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP passwd Problem.
On Thu, 10 Oct 2002, [EMAIL PROTECTED] wrote: > ich versucheseit einigen Tageneine zentralle > Benutzerverwaltung mit LDAP einzurichten. Als vorlage habe > ich die beiden Artikel in der iX und Linux-Magazin (jeweils > 04/2002) verwendet. > > Ich habe einen Testbenutzer unter LDAP angelegt. Mit diesem > Testbenutzer kann ich mich auf der Maschiene einloggen, > aber ich kann nicht das Passwort mit dem Befehl "passwd" > ändern. Ich habe leider keine grossen Erfahrungen mit den > PAM-Modulen und komme nicht mehr weiter. > [ - log stuff - ] > Kann jemand damit was anfangen? Nee, aber ich kann dir sagen was ich in meine Config Dateien geschrieben habe damit es funzt... :-) | $ cat /etc/pam.d/passwd |egrep -v '^#' | | password sufficient pam_ldap.so | password required pam_unix.so nullok obscure min=4 max=8 md5 Damit müsste es laufen ... | $ passwd | | Enter login(LDAP) password: | New password: | Re-enter new password: | LDAP password information changed for kirk | passwd: password updated successfully - Markus -- "Men are born ignorant, not stupid; they are made stupid by education." - Bertrand Russell, History of Western Philosophy. msg21143/pgp0.pgp Description: PGP signature
LDAP passwd Problem.
Hallo alle zusammen, ich versuche seit einigen Tagen eine zentralle Benutzerverwaltung mit LDAP einzurichten. Als vorlage habe ich die beiden Artikel in der iX und Linux-Magazin (jeweils 04/2002) verwendet. Ich habe einen Testbenutzer unter LDAP angelegt. Mit diesem Testbenutzer kann ich mich auf der Maschiene einloggen, aber ich kann nicht das Passwort mit dem Befehl "passwd" ändern. Ich habe leider keine grossen Erfahrungen mit den PAM-Modulen und komme nicht mehr weiter. Hier noch ein paar Auszüge aus den Log-Dateien. wenn ich als root-Benutzer den Befehl "passwd test", dann kommen in der syslog-Datei folgende Meldungen: Oct 10 13:20:10 slapd[8069]: daemon: conn=15 fd=9 connection from IP=127.0.0.1:4074 (IP=0.0.0.0:34049) accepted. Oct 10 13:20:10 slapd[8072]: conn=15 op=0 BIND dn="CN=ADMIN,DC=DIGI" method=128 Oct 10 13:20:10 slapd[8072]: conn=15 op=0 RESULT tag=97 err=0 text= Oct 10 13:20:10 slapd[8073]: conn=15 op=1 SRCH base="dc=digi" scope=2 filter="(&(objectClass=posixAccount)(uid=test))" Oct 10 13:20:10 slapd[8073]: conn=15 op=1 ENTRY dn="cn=Test User, ou=Studenten, ou=Personal, dc=digi" Oct 10 13:20:10 slapd[8073]: conn=15 op=1 SEARCH RESULT tag=101 err=0 text= Oct 10 13:20:10 slapd[8069]: daemon: conn=16 fd=16 connection from IP=127.0.0.1:4075 (IP=0.0.0.0:34049) accepted. Oct 10 13:20:10 slapd[8071]: conn=16 op=0 BIND dn="CN=ADMIN,DC=DIGI" method=128 Oct 10 13:20:10 slapd[8071]: conn=16 op=0 RESULT tag=97 err=0 text= Oct 10 13:20:10 slapd[8072]: conn=16 op=1 SRCH base="dc=digi" scope=2 filter="(uid=test)" Oct 10 13:20:10 slapd[8072]: conn=16 op=1 ENTRY dn="cn=Test User, ou=Studenten, ou=Personal, dc=digi" Oct 10 13:20:10 slapd[8072]: conn=16 op=1 SEARCH RESULT tag=101 err=0 text= Oct 10 13:20:10 slapd[8073]: conn=15 op=2 SRCH base="dc=digi" scope=2 filter="(&(objectClass=posixAccount)(uid=test))" Oct 10 13:20:10 slapd[8073]: conn=15 op=2 ENTRY dn="cn=Test User, ou=Studenten, ou=Personal, dc=digi" Oct 10 13:20:10 slapd[8073]: conn=15 op=2 SEARCH RESULT tag=101 err=0 text= Oct 10 13:20:10 slapd[8071]: conn=15 op=3 SRCH base="dc=digi" scope=2 filter="(&(objectClass=shadowAccount)(uid=test))" Oct 10 13:20:10 slapd[8071]: conn=15 op=3 ENTRY dn="cn=Test User, ou=Studenten, ou=Personal, dc=digi" Oct 10 13:20:10 slapd[8071]: conn=15 op=3 SEARCH RESULT tag=101 err=0 text= Oct 10 13:20:10 slapd[8072]: conn=16 op=2 UNBIND Oct 10 13:20:10 slapd[8072]: conn=-1 fd=16 closed Oct 10 13:20:10 slapd[8069]: conn=-1 fd=9 closed und der passwd-Befehl meldet folgende Fehlermeldung: passwd: Authentication service cannot retrieve authentication info. wenn ich mich aber als User "test" anmelde und anschliessend passwd eingebe, dann sehen die Meldungen so aus: x@:~$ telnet localhost Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. Debian GNU/Linux testing/unstable .xxx login: test Password: test@:~$ passwd Enter login(LDAP) password: passwd: Authentication service cannot retrieve authentication info. test@:~$ in der Datei auth.log kommen noch zusätzlichdie Meldungen: Oct 10 13:29:03 login(pam_unix)[8124]: session opened for user test by (uid=0) Oct 10 13:29:30 passwd(pam_unix)[8125]: check pass; user unknown Oct 10 13:29:30 passwd(pam_unix)[8125]: authentication failure; logname=test uid=508 euid=0 tty= ruser= rhost= in der syslog-Datei kommen auch haufenweise Meldungen (ich habe den loglevel etwas zu hoch gesetzt), aber keine Fehlermeldungen sowei ich es beurteilen kann. Kann jemand damit was anfangen? Ich wäre für jeden Hinweis dankbar. mfg Eduard Fuchs -- +++ GMX - Mail, Messaging & more http://www.gmx.net +++ NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen! -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
