Como configurar arquivos pam.d para ldap sobre ssh em 12.04?

Navegue suas respostas
3

Estou tentando configurar um servidor Ubuntu 12.04 para que os usuários com uma conta válida em um servidor ldap remoto possam acessar o servidor ubuntu.

Eu segui este guia de perto: link .

Quando eu tento ssh nessa máquina, isto é o que eu vejo em /var/log/auth.log ANTES entrar minha senha: 

Connection from 192.168.0.10 port 36624
Invalid user bentrupk from 192.168.0.10
input_userauth_request: invalid user bentrupk [preauth]

No entanto, usando um sniffer de pacotes, também estou vendo uma consulta bem-sucedida ao servidor ldap usando meu nome de usuário que retorna meu DN no ldap.

Em seguida, insiro minha senha, mas o sniffer de pacote mostra uma solicitação de vinculação de ldap com o DN correto, mas com uma senha de ".... INCORRECT".

Obviamente, essa não é a senha que eu digitei.

Estou assumindo que é um problema com 1 ou mais dos meus arquivos de configuração pam.d.

Eu estou querendo saber se há uma dica do "usuário inválido" no auth.log? Há claramente uma solicitação sendo feita para o servidor ldap com o nome de usuário fornecido pelo ssh antes de inserir minha senha que retorna com sucesso a entrada correta.

No entanto, não está claro para mim o que acontece primeiro: "Usuário inválido" no auth.log OU a pesquisa do ldap vista no sniffer de pacotes (e apenas para ficar claro que o usuário ssh não tem uma conta local).

O que posso fazer para depurar isso mais ou confirmar que tenho a configuração correta?

    
por Keith Bentrup 28.02.2013 / 19:04

2 respostas

1

Eu estava fazendo uma suposição incorreta sobre o que os módulos PAM fizeram. Presumi que ter uma conta no LDAP poderia realmente fazer com que um módulo criasse o usuário no sistema (uma suposição provavelmente influenciada pelo meu plano de fundo webdev), da mesma forma que também poderia criar os diretórios base ( pam_mkhomedir ).

Depois de criar os usuários localmente usando: 

sudo adduser doej --disabled-password

Consegui fazer o login com a conta doej no LDAP.

Incidentalmente, encontrei uma solução usando pam_exec que permitiria me para criar dinamicamente os usuários também.

    
por Keith Bentrup 27.03.2013 / 17:18
0

Não há necessidade de contas locais para que as contas do ldap possam fazer login.

Talvez quando não encontrar o usuário adequado no ldap, ele retorne às contas de usuário criadas localmente.

O erro de usuário inválido indica que a pesquisa no servidor ldap não está retornando a conta do usuário com a qual você tentou se autenticar.

Ative a depuração no seu servidor ldap: crie um arquivo ldiff com estas linhas 

dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: stats

e importe o arquivo ldif para o servidor ldap com: 

ldapadd -x -W -D 'cn=Manager,dc=pvpsc,dc=com' -f increaseverbosity.ldiff

isto registrará as consultas ldap feitas no seu ldap no syslog do seu servidor. use a ferramenta ldapsearch para pesquisar seu servidor ldap e ler o nome de usuário de um usuário. compare o log bem-sucedido com o criado pela autenticação com falha.

o que difere? Este é provavelmente o local onde você encontrará a falha.

    
por tomodachi 19.04.2013 / 17:12

Tags

Reorganizar ícones na unidade Ubuntu 12.04 Precisa executar um arquivo .bin, mas o mesmo erro continua aparecendo