Re: LDAP passwd Problem.
> Hmm, es gibt da so Sachen wie directory_administrator, ein > nettes Gnome Programm, oder kdiradm etwas ähnliches für > KDE. Aber das ultimative Tool habe ich auch noch nicht > gefunden. > > - Markus > Erstmal vielen Dank. Das Tool directory_administrator macht einen guten Eindruck. Ich hätte da noch eine kleine Bitte, könntet ihr ein Blick werfen auf den LDAP-Aufbauen und sagen was ihr darüber denkt? Das Verzeichnis hat folgenden Aufbau: dc=digi (wurzel) | |- ou=Personal ||- ou=Angestellte |'- ou=Studenten | '- cn=Eduard Fuchs '- ou=NSS |- ou=Accounts ||- ou=user (Normale Benutzer-Accounts) ||'- uid=efuchs ||- ou=admin (Accounts für Administratoren) ||- ou=machine (für NT-Rechner-Accounts) |'- ou=system (für Systemspezifische Accounts) |- ou=Groups ||- ou=system (Systemspezifische Gruppen) |'- ou=project (Projektbezogene Gruppen) '- ou=Services Wie es zu sehen ist, habe die "Personen" von ihren "Accounts" getrennt. Das hat in meinen Augen den vorteil, dass man Personen in den LDAP-Eintragen kann, die nicht zwansläufig einen Account besitzen müssen. Aber ich kann mangels der Erfahrung nicht abschätzen, ob ich in Zukunf Problemme mit so einer Aufteilung bekommen werde. Der mehr Aufwand beim Pflegen der Daten wäre zu verkraften, wenn man berücksichtigt das es sich dabei um eine Abteilung mit (viel) weniger als 20 Personen handelt. Aber es gibt oft Personen (studenten), die nur kurzfristig in der Abteilung beschäftigt werden. mfg Eduard Fuchs -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP passwd Problem.
On Thu, 10 Oct 2002, [EMAIL PROTECTED] wrote: > Jetzt zurück zu dem LDAP-Problem. ES LÄUFT !!! > > Angeregt von deinen hienweisen habe ich angefangen > systematisch einträge von der /etc/pam.d/passwd-Datei > zu entfernen. Anscheinen lag es an dem Parameter > 'use_first_pass'. Die Datei sieht etzt so aus: > > auth sufficient pam_ldap.so > auth required pam_unix.so nullok > accountsufficient pam_ldap.so > accountrequired pam_unix.so > #password sufficient pam_ldap.so use_first_pass use_authtok > password sufficient pam_ldap.so > password required pam_unix.so nullok use_authtok > sessionrequired pam_unix.so > > Jetzt hätte ich noch eine kleine Frage: Wie kann ich einen > neuen User anlegen (mit einem Heimatverzeichnis versteht > sich)? Die Unix-Tools useradd und userdel funktionieren ja > wahrscheinlich nicht mehr. Hmm, es gibt da so Sachen wie directory_administrator, ein nettes Gnome Programm, oder kdiradm etwas ähnliches für KDE. Aber das ultimative Tool habe ich auch noch nicht gefunden. - Markus -- "If it dies, it's biology. If it blows up, it's chemistry, and if it doesn't work, it's physics." -- University bathroom graffito msg21182/pgp0.pgp Description: PGP signature
Re: LDAP passwd Problem.
Markus Hubig wrote: > On Thu, 10 Oct 2002, [EMAIL PROTECTED] wrote: > > >>Markus Hubig wrote: >> >>>| $ cat /etc/pam.d/passwd |egrep -v '^#' >>>| >>>| password sufficient pam_ldap.so >>>| password required pam_unix.so nullok obscure min=4 max=8 md5 >> >>Bei mir sieht die /etc/pam.d/passwd so aus: >> >>auth sufficient pam_ldap.so >>auth required pam_unix.so nullok use_first_pass >>accountsufficient pam_ldap.so >>accountrequired pam_unix.so >>password required pam_ldap.so use_first_pass use_authtok >>password required pam_unix.so nullok use_first_pass use_authtok >>sessionrequired pam_unix.so > > > Schau doch mal in der manpage zu 'pam.conf' nach, was die > Management Groups 'auth', 'account' und 'session' eigentlich > bedeuten. Diese sind in der pam-Datei des passwd Programms > IMHO ziemlich unnötig! > Habe keine Ahnung, ob die da rein müssen. Sie waren in den Beispielartikel drin also habe ich sie auch rein gemacht. Werde bei gelegentlich mal dem PAM auf den Grund gehen. > Wenn Du sowohl pam_ldap, als auch pam_unix als 'required' > angibst muss man zum einen das Passwort bei jeder Änderung 2x > eingeben, zum anderen siehst Du ziemlich alt aus, wenn der > LDAP-Server mal nicht zu erreichen ist, und dein Passwort ist > abgelaufen ... aber das ist Geschmackssache. > Danke für den Tip. > > Da gibt es offensichtlich ein Verständnisproblem. *Shadow* > Passwörter bedeuten, dass die Passwörter nicht in der Datei > /etc/passwd abgespeichert werden, sondern in der extra Datei > /etc/shadow. *MD5* Passwörter bedeuten, dass die Passwörter > _in_ der Datei /etc/shadow mit dem MD5-Algo. _verschüsselt_ > werden. Na ja, wie gesagt ich habe mit der ganzen Authentifizierungs-Kiste bis jetzt nichts zu tuhen gehabt. Es lief ja alles wunderbar mit den passwd Dateien. > >>Vieleicht funktioniert es deshalb nicht? > > > Ne, das glaube ich nicht. Du hast als Passwort Format sicher > Crypt angegeben oder? Dann wird automatisch der richtige Algo. > benutzt wenn die Passwörter überprüft werden. > Bin ganz deiner Meinung. > -Markus > > PS.: Realname ist eigentlich eine Sache der Höflichkeit. Geht > auch mit dem GMX Webmailer! > Geht Leider nicht. Ich habe den Account auf einen Xxx Yyy Namen (oder sowas ähnliches) bei GMX angelegt. Und mein Mozilla stellt sich bei der auslieferung der Nachrichten momentan quer, wodurch ich gezwungen bin auf den Web-Client von GMX auszuweichen. Also möchte ich mich bei allen für diese Unhöfflichkeit entschuldigen. Jetzt zurück zu dem LDAP-Problem. ES LÄUFT !!! Angeregt von deinen hienweisen habe ich angefangen systematisch einträge von der /etc/pam.d/passwd-Datei zu entfernen. Anscheinen lag es an dem Parameter 'use_first_pass'. Die Datei sieht etzt so aus: auth sufficient pam_ldap.so auth required pam_unix.so nullok accountsufficient pam_ldap.so accountrequired pam_unix.so #password sufficient pam_ldap.so use_first_pass use_authtok password sufficient pam_ldap.so password required pam_unix.so nullok use_authtok sessionrequired pam_unix.so Jetzt hätte ich noch eine kleine Frage: Wie kann ich einen neuen User anlegen (mit einem Heimatverzeichnis versteht sich)? Die Unix-Tools useradd und userdel funktionieren ja wahrscheinlich nicht mehr. mfg Eduard Fuchs -- +++ GMX - Mail, Messaging & more http://www.gmx.net +++ NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen! -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP passwd Problem.
On Thu, 10 Oct 2002, [EMAIL PROTECTED] wrote: > Markus Hubig wrote: > > > > | $ cat /etc/pam.d/passwd |egrep -v '^#' > > | > > | password sufficient pam_ldap.so > > | password required pam_unix.so nullok obscure min=4 max=8 md5 > > Bei mir sieht die /etc/pam.d/passwd so aus: > > auth sufficient pam_ldap.so > auth required pam_unix.so nullok use_first_pass > accountsufficient pam_ldap.so > accountrequired pam_unix.so > password required pam_ldap.so use_first_pass use_authtok > password required pam_unix.so nullok use_first_pass use_authtok > sessionrequired pam_unix.so Schau doch mal in der manpage zu 'pam.conf' nach, was die Management Groups 'auth', 'account' und 'session' eigentlich bedeuten. Diese sind in der pam-Datei des passwd Programms IMHO ziemlich unnötig! Wenn Du sowohl pam_ldap, als auch pam_unix als 'required' angibst muss man zum einen das Passwort bei jeder Änderung 2x eingeben, zum anderen siehst Du ziemlich alt aus, wenn der LDAP-Server mal nicht zu erreichen ist, und dein Passwort ist abgelaufen ... aber das ist Geschmackssache. > Ich benutze aber keine MD5 passwörter (denke ich, ich > glaube mich errienern zu können, dass das System bei der > Installation danach gefragt hat, welche Passwörter man > benutzen möchte und ich habe "shadow" gewählt.) Da gibt es offensichtlich ein Verständnisproblem. *Shadow* Passwörter bedeuten, dass die Passwörter nicht in der Datei /etc/passwd abgespeichert werden, sondern in der extra Datei /etc/shadow. *MD5* Passwörter bedeuten, dass die Passwörter _in_ der Datei /etc/shadow mit dem MD5-Algo. _verschüsselt_ werden. > Vieleicht funktioniert es deshalb nicht? Ne, das glaube ich nicht. Du hast als Passwort Format sicher Crypt angegeben oder? Dann wird automatisch der richtige Algo. benutzt wenn die Passwörter überprüft werden. -Markus PS.: Realname ist eigentlich eine Sache der Höflichkeit. Geht auch mit dem GMX Webmailer! -- UNIX is user friendly. It's just selective who the friends are. msg21170/pgp0.pgp Description: PGP signature
Re: LDAP passwd Problem.
Markus Hubig wrote: > On Thu, 10 Oct 2002, [EMAIL PROTECTED] wrote: > > >>ich versucheseit einigen Tageneine zentralle >>Benutzerverwaltung mit LDAP einzurichten. Als vorlage habe >>ich die beiden Artikel in der iX und Linux-Magazin (jeweils >>04/2002) verwendet. >> >>Ich habe einen Testbenutzer unter LDAP angelegt. Mit diesem >>Testbenutzer kann ich mich auf der Maschiene einloggen, >>aber ich kann nicht das Passwort mit dem Befehl "passwd" >>ändern. Ich habe leider keine grossen Erfahrungen mit den >>PAM-Modulen und komme nicht mehr weiter. > > >>[ - log stuff - ] > > >>Kann jemand damit was anfangen? > > > Nee, aber ich kann dir sagen was ich in meine Config Dateien > geschrieben habe damit es funzt... :-) > > | $ cat /etc/pam.d/passwd |egrep -v '^#' > | > | password sufficient pam_ldap.so > | password required pam_unix.so nullok obscure min=4 max=8 md5 Bei mir sieht die /etc/pam.d/passwd so aus: auth sufficient pam_ldap.so auth required pam_unix.so nullok use_first_pass accountsufficient pam_ldap.so accountrequired pam_unix.so password required pam_ldap.so use_first_pass use_authtok password required pam_unix.so nullok use_first_pass use_authtok sessionrequired pam_unix.so Ich benutze aber keine MD5 passwörter (denke ich, ich glaube mich errienern zu können, dass das System bei der Installation danach gefragt hat, welche Passwörter man benutzen möchte und ich habe "shadow" gewählt.) Vieleicht funktioniert es deshalb nicht? mfg Eduard Fuchs -- +++ GMX - Mail, Messaging & more http://www.gmx.net +++ NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen! -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP passwd Problem.
On Thu, 10 Oct 2002, [EMAIL PROTECTED] wrote: > ich versucheseit einigen Tageneine zentralle > Benutzerverwaltung mit LDAP einzurichten. Als vorlage habe > ich die beiden Artikel in der iX und Linux-Magazin (jeweils > 04/2002) verwendet. > > Ich habe einen Testbenutzer unter LDAP angelegt. Mit diesem > Testbenutzer kann ich mich auf der Maschiene einloggen, > aber ich kann nicht das Passwort mit dem Befehl "passwd" > ändern. Ich habe leider keine grossen Erfahrungen mit den > PAM-Modulen und komme nicht mehr weiter. > [ - log stuff - ] > Kann jemand damit was anfangen? Nee, aber ich kann dir sagen was ich in meine Config Dateien geschrieben habe damit es funzt... :-) | $ cat /etc/pam.d/passwd |egrep -v '^#' | | password sufficient pam_ldap.so | password required pam_unix.so nullok obscure min=4 max=8 md5 Damit müsste es laufen ... | $ passwd | | Enter login(LDAP) password: | New password: | Re-enter new password: | LDAP password information changed for kirk | passwd: password updated successfully - Markus -- "Men are born ignorant, not stupid; they are made stupid by education." - Bertrand Russell, History of Western Philosophy. msg21143/pgp0.pgp Description: PGP signature
LDAP passwd Problem.
Hallo alle zusammen, ich versuche seit einigen Tagen eine zentralle Benutzerverwaltung mit LDAP einzurichten. Als vorlage habe ich die beiden Artikel in der iX und Linux-Magazin (jeweils 04/2002) verwendet. Ich habe einen Testbenutzer unter LDAP angelegt. Mit diesem Testbenutzer kann ich mich auf der Maschiene einloggen, aber ich kann nicht das Passwort mit dem Befehl "passwd" ändern. Ich habe leider keine grossen Erfahrungen mit den PAM-Modulen und komme nicht mehr weiter. Hier noch ein paar Auszüge aus den Log-Dateien. wenn ich als root-Benutzer den Befehl "passwd test", dann kommen in der syslog-Datei folgende Meldungen: Oct 10 13:20:10 slapd[8069]: daemon: conn=15 fd=9 connection from IP=127.0.0.1:4074 (IP=0.0.0.0:34049) accepted. Oct 10 13:20:10 slapd[8072]: conn=15 op=0 BIND dn="CN=ADMIN,DC=DIGI" method=128 Oct 10 13:20:10 slapd[8072]: conn=15 op=0 RESULT tag=97 err=0 text= Oct 10 13:20:10 slapd[8073]: conn=15 op=1 SRCH base="dc=digi" scope=2 filter="(&(objectClass=posixAccount)(uid=test))" Oct 10 13:20:10 slapd[8073]: conn=15 op=1 ENTRY dn="cn=Test User, ou=Studenten, ou=Personal, dc=digi" Oct 10 13:20:10 slapd[8073]: conn=15 op=1 SEARCH RESULT tag=101 err=0 text= Oct 10 13:20:10 slapd[8069]: daemon: conn=16 fd=16 connection from IP=127.0.0.1:4075 (IP=0.0.0.0:34049) accepted. Oct 10 13:20:10 slapd[8071]: conn=16 op=0 BIND dn="CN=ADMIN,DC=DIGI" method=128 Oct 10 13:20:10 slapd[8071]: conn=16 op=0 RESULT tag=97 err=0 text= Oct 10 13:20:10 slapd[8072]: conn=16 op=1 SRCH base="dc=digi" scope=2 filter="(uid=test)" Oct 10 13:20:10 slapd[8072]: conn=16 op=1 ENTRY dn="cn=Test User, ou=Studenten, ou=Personal, dc=digi" Oct 10 13:20:10 slapd[8072]: conn=16 op=1 SEARCH RESULT tag=101 err=0 text= Oct 10 13:20:10 slapd[8073]: conn=15 op=2 SRCH base="dc=digi" scope=2 filter="(&(objectClass=posixAccount)(uid=test))" Oct 10 13:20:10 slapd[8073]: conn=15 op=2 ENTRY dn="cn=Test User, ou=Studenten, ou=Personal, dc=digi" Oct 10 13:20:10 slapd[8073]: conn=15 op=2 SEARCH RESULT tag=101 err=0 text= Oct 10 13:20:10 slapd[8071]: conn=15 op=3 SRCH base="dc=digi" scope=2 filter="(&(objectClass=shadowAccount)(uid=test))" Oct 10 13:20:10 slapd[8071]: conn=15 op=3 ENTRY dn="cn=Test User, ou=Studenten, ou=Personal, dc=digi" Oct 10 13:20:10 slapd[8071]: conn=15 op=3 SEARCH RESULT tag=101 err=0 text= Oct 10 13:20:10 slapd[8072]: conn=16 op=2 UNBIND Oct 10 13:20:10 slapd[8072]: conn=-1 fd=16 closed Oct 10 13:20:10 slapd[8069]: conn=-1 fd=9 closed und der passwd-Befehl meldet folgende Fehlermeldung: passwd: Authentication service cannot retrieve authentication info. wenn ich mich aber als User "test" anmelde und anschliessend passwd eingebe, dann sehen die Meldungen so aus: x@:~$ telnet localhost Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. Debian GNU/Linux testing/unstable .xxx login: test Password: test@:~$ passwd Enter login(LDAP) password: passwd: Authentication service cannot retrieve authentication info. test@:~$ in der Datei auth.log kommen noch zusätzlichdie Meldungen: Oct 10 13:29:03 login(pam_unix)[8124]: session opened for user test by (uid=0) Oct 10 13:29:30 passwd(pam_unix)[8125]: check pass; user unknown Oct 10 13:29:30 passwd(pam_unix)[8125]: authentication failure; logname=test uid=508 euid=0 tty= ruser= rhost= in der syslog-Datei kommen auch haufenweise Meldungen (ich habe den loglevel etwas zu hoch gesetzt), aber keine Fehlermeldungen sowei ich es beurteilen kann. Kann jemand damit was anfangen? Ich wäre für jeden Hinweis dankbar. mfg Eduard Fuchs -- +++ GMX - Mail, Messaging & more http://www.gmx.net +++ NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen! -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)