Autenticação do usuário LDAP no CentOS 7: Permissão negada

1

Configurei o LDAP no CentOS 7 e agora estou tentando configurar a autenticação de usuário externa . Navegando, achei isto: link que é para o CentOS 5.

Além disso, em outros sites, você pode acessar para testes com os seguintes itens:

ssh my_LDAP_user@LDAP_hostname_or_IP:389

Mas não funciona para mim. O CentOS me lança um erro:

ssh: Could not resolve hostname hostname:389: Name or service not known

Quando eu tento sem o 389, 'Permissão negada' e estou inserindo a senha correta :

[root@localhost openldap]# ssh lolo@hostname
lolo@hostname's password:
Permission denied, please try again.

Você conhece alguma sugestão ou guia de linhas para se mover um pouco deste buraco? Obrigado antecipadamente!

EDITAR:

A ideia é fazer o login no LDAP a partir do externo. Tenho que verificar se tudo corre bem. Você me ajuda com algumas diretrizes para isso?

log do serviço nslcd:

gen 19 19:30:57 localhost nslcd[7020]: [ad6f57] <authc="test"> failed to bind to LDAP server ldap://ldap.192.168.150.105:389/: Can't contact LDAP server
gen 19 19:30:57 localhost nslcd[7020]: [ad6f57] <authc="test"> no available LDAP server found: Can't contact LDAP server

authconfig --test:

[root@localhost openldap]# authconfig --test
caching is disabled
nss_files is always enabled
nss_compat is disabled
nss_db is disabled
nss_hesiod is disabled
 hesiod LHS = ""
 hesiod RHS = ""
nss_ldap is enabled
 LDAP+TLS is disabled
 LDAP server = "ldap://192.168.150.105/"
 LDAP base DN = "dc=example,dc=com"
nss_nis is disabled
 NIS server = ""
 NIS domain = ""
nss_nisplus is disabled
nss_winbind is disabled
 SMB workgroup = "MYGROUP"
 SMB servers = ""
 SMB security = "user"
 SMB realm = ""
 Winbind template shell = "/bin/false"
 SMB idmap range = "16777216-33554431"
nss_sss is enabled by default
nss_wins is disabled
nss_mdns4_minimal is disabled
DNS preference over NSS or WINS is disabled
pam_unix is always enabled
 shadow passwords are enabled
 password hashing algorithm is sha512
pam_krb5 is disabled
 krb5 realm = "#"
 krb5 realm via dns is disabled
 krb5 kdc = ""
 krb5 kdc via dns is disabled
 krb5 admin server = ""
pam_ldap is enabled
 LDAP+TLS is disabled
 LDAP server = "ldap://192.168.150.105/"
 LDAP base DN = "dc=example,dc=com"
 LDAP schema = "rfc2307"
pam_pkcs11 is disabled
 use only smartcard for login is disabled
 smartcard module = ""
 smartcard removal action = ""
pam_fprintd is disabled
pam_ecryptfs is disabled
pam_winbind is disabled
 SMB workgroup = "MYGROUP"
 SMB servers = ""
 SMB security = "user"
 SMB realm = ""
pam_sss is disabled by default
 credential caching in SSSD is enabled
 SSSD use instead of legacy services if possible is enabled
IPAv2 is disabled
IPAv2 domain was not joined
 IPAv2 server = ""
 IPAv2 realm = ""
 IPAv2 domain = ""
pam_pwquality is enabled (try_first_pass local_users_only retry=3 authtok_type=)
pam_passwdqc is disabled ()
pam_access is disabled ()
pam_mkhomedir or pam_oddjob_mkhomedir is enabled (umask=0077)
Always authorize local users is enabled ()
Authenticate system accounts against network services is disabled

É possível que o problema principal seja Authenticate system accounts against network services is disabled na última linha de authconfig --test ? Em alguns tutoriais, aparece, mas não é um problema: - /

    
por Neil 19.01.2015 / 16:57

2 respostas

1

Alguns conselhos para você:
- Desativar selinux e reinicializar
# vi /etc/selinux/config selinux=disabled
- Parar o iptables em # systemctl stop iptables.service
- Você criou um usuário ldap? (tente com o seguinte guia link )
- Editar / etc / ssh / sshd_conf
PermitRootLogin yes UsePAM yes
- Verifique os registros em / var / log / secure

    
por 19.01.2015 / 17:31
1

Eu enfrentei o mesmo problema que você, quando eu li o seu post eu não tinha a menor idéia para resolver isso, mas agora eu resolvo o meu problema. Aqui está a minha solução:

Instale nss-pam-ldapd se você não instalou anteriormente:

[root@www ~]# yum -y install nss-pam-ldapd 

Desative selinux e reinicialize:

[root@ldap ~]# vi /etc/selinux/config

Altere esta linha: selinux=disabled

Executar authconfig :

#ldapserver=(LDAP server's hostname or IP address)
#ldapbasedn="dc=(your own domain name)"

[root@ldap ~]# authconfig --enableldap \
--enableldapauth \
--ldapserver=my.domain.world \
--ldapbasedn="dc=my,dc=domain,dc=world" \
--enablemkhomedir \
--update

getsebool: SELinux is disabled 

Se você usa TLS para o seu LDAP, não se esqueça de executar isto:

[root@ldap ~]# authconfig --enableldaptls --update

getsebool: SELinux is disabled

Talvez minha solução também possa ser sua solução. : D

    
por 03.07.2015 / 16:54