Não consigo su quando o LDAP está em execução

2

Eu tenho problema com o ldap, que quando está online, eu faço login com user / pass do banco de dados do LDAP e não consigo su para root com o passe local. Quando eu ligo o LDAP off-line, posso fazer o login com o usuário local / pass e su para root com o passe local. auth.log:

Sep 27 12:18:33 intranet sshd[18321]: pam_unix(sshd:session): session opened for user mejmo by (uid=0)
Sep 27 12:18:39 intranet unix_chkpwd[18340]: check pass; user unknown
Sep 27 12:18:39 intranet unix_chkpwd[18340]: password check failed for user (root)
Sep 27 12:18:39 intranet su[18339]: pam_unix(su:auth): authentication failure; logname=mejmo uid=10009 euid=10009 tty=/dev/pts/1 ruser=mejmo rhost=  user=r
Sep 27 12:18:42 intranet su[18339]: pam_authenticate: Permission denied
Sep 27 12:18:42 intranet su[18339]: FAILED su for root by mejmo

Estou digitando a boa senha, porque consigo fazer o login quando o servidor LDAP está offline. Por favor ajude, ficando louco ...

EDIT: Eu descobri que, quando eu criar usuário localmente também, ligue o LDAP on-line, então eu sou capaz de su para root. Eu acho que o problema é que o pam_unix não pode ver o usuário que está usando o su, porque não há entrada no passwd, mas o nssswitch.conf está ok (arquivos ldap no passwd, shadow, etc.)

EDIT2:

account         sufficient      pam_ldap.so debug
account         sufficient      pam_unix.so audit

auth    sufficient      pam_ldap.so
auth    sufficient      pam_unix.so audit likeauth use_first_pass
auth    required        pam_deny.so

EDIT3: Funciona com o nscd em execução, mas faz logs desagradáveis e ocasionalmente não consigo logar. Onde poderia estar o problema com o nscd? :(

Sep 27 16:27:35 intranet sshd[25830]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Sep 27 16:27:35 intranet sshd[25830]: pam_ldap: reconnecting to LDAP server...
Sep 27 16:27:35 intranet sshd[25830]: pam_ldap: ldap_simple_bind Can't contact LDAP server
    
por John 27.09.2010 / 12:22

2 respostas

1

Tem certeza de verificar primeiro a autenticação local e depois o back-end do LDAP?

Verifique seu /etc/nsswitch.conf

Ele deve mostrar:

passwd: arquivos ldap grupo: arquivos ldap shadow: arquivos ldap

ou talvez também a opção "compat"

Editar:

O nscd tem sido uma fonte de problemas em minhas máquinas RHEL, criando bugs onde você nunca esperaria um do nscd. Então a resposta é sim, o nscd pode ser a causa desse comportamento estranho. Você deve tentar limpar o cache do nscd durante seus testes.

nscd -i passwd nscd -i group

    
por 27.09.2010 / 13:04
0

O usuário é do LDAP no grupo correto para fazer su na raiz?

Normalmente, esse é o grupo wheel, mas pode ser diferente em seu ambiente.

    
por 27.09.2010 / 12:51