[pam] pb de groupe groupes avec ldap

Le
Eric Belhomme
Bonjour,

J'ai un problème curieux qui apparait sur un poste (Debian Lenny) au
sein d'un réseauavec annuaire LDAP :

Donc un annuaire LDAP s'occupe de l'authentification et des logins pour
différents postes clients (RHEL4 et 5, Debian stable et Lenny)

le fichier nsswitch.conf ressemble à ceci :

passwd: files ldap
group: files ldap
shadow: files ldap

les fichiers /etc/libnss_ldap.conf et /etc/pam_ldap.conf sont
correctement configurés, d'ailleurs, l'authentification et le login
fonctionnent bien.

"id" me renvoie bien la concaténation des groupes locaux et LDAP auquels
rico appartient, tout comme getent

Mais j'ai un problème curieux avec un groupe : soit un user "rico" et un
groupe "netadm" (tous deux créés à partir de l'annuaire LDAP :

wallis:~$ ls -al /tmp/test/
total 8
drwxrwx 2 root netadm 4096 jan 21 17:12 .
drwxrwxrwt 26 root root 4096 jan 21 17:20 ..
-rw-r--r-- 1 rico eve 0 jan 21 17:12 essai

Ici, un répertoire créé sur mon système de fichiers local, avec un
répertoire accessible uniquement aux membres du groupes netadm. On
constate que cela fonctionne (je peux lire et écrire dans ce répertoire)

MAIS !

wallis:~$ ls -al /auto/root/
total 72
drwxrwxr-x 9 root netadm 4096 déc 10 12:37 .
drwxr-xr-x 4 root root 0 jan 21 17:12 ..
drwxrwx 2 root netadm 4096 jan 21 16:44 doc_sysadmin

wallis:~$ ls -al /auto/root/doc_sysadmin/
ls: ne peut ouvrir le répertoire /auto/root/doc_sysadmin/: Permission
non accordée

/auto/root est un auto-montage NFS, et le client (wallis) a les options
de montage no_squash_root,rw

On constate que le répertoire doc_sysadmin est inaccessible à mon user,
alors que les droits et l'ownership devraient le rendre accessible !
Il va sans dire que cela "marchait avant"

J'ai épluché la doc de nsswitch et de libnss_ldap, mais le fait que
getent me retourne les bonnes valeurs me fait penser que le problème
n'est pas là.
J'ai donc épluché PAM, mais je ne vois rien qui cloche là non plus

En fait, je ne comprends pas bien d'ou peut venir le problème, et je ne
sais vraiment plus quoi regarder, donc toute aide sera vraiment bien venue !

--
Rico
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
vincent.verdon
Le #18482421
Bonsoir,

Eric Belhomme a écrit :
Bonjour,

J'ai un problème curieux qui apparait sur un poste (Debian Lenny) au
sein d'un réseauavec annuaire LDAP :

Donc un annuaire LDAP s'occupe de l'authentification et des logins pour
différents postes clients (RHEL4 et 5, Debian stable et Lenny)

le fichier nsswitch.conf ressemble à ceci :

passwd: files ldap
group: files ldap
shadow: files ldap

les fichiers /etc/libnss_ldap.conf et /etc/pam_ldap.conf sont
correctement configurés, d'ailleurs, l'authentification et le login
fonctionnent bien.

"id" me renvoie bien la concaténation des groupes locaux et LDAP auquels
rico appartient, tout comme getent

Mais j'ai un problème curieux avec un groupe : soit un user "rico" et un
groupe "netadm" (tous deux créés à partir de l'annuaire LDAP :

wallis:~$ ls -al /tmp/test/
total 8
drwxrwx--- 2 root netadm 4096 jan 21 17:12 .
drwxrwxrwt 26 root root 4096 jan 21 17:20 ..
-rw-r--r-- 1 rico eve 0 jan 21 17:12 essai

Ici, un répertoire créé sur mon système de fichiers local, avec un
répertoire accessible uniquement aux membres du groupes netadm. On
constate que cela fonctionne (je peux lire et écrire dans ce répertoire)

MAIS !

wallis:~$ ls -al /auto/root/
total 72
drwxrwxr-x 9 root netadm 4096 déc 10 12:37 .
drwxr-xr-x 4 root root 0 jan 21 17:12 ..
drwxrwx--- 2 root netadm 4096 jan 21 16:44 doc_sysadmin

wallis:~$ ls -al /auto/root/doc_sysadmin/
ls: ne peut ouvrir le répertoire /auto/root/doc_sysadmin/: Permission
non accordée

/auto/root est un auto-montage NFS, et le client (wallis) a les options
de montage no_squash_root,rw

On constate que le répertoire doc_sysadmin est inaccessible à mon user,
alors que les droits et l'ownership devraient le rendre accessible !
Il va sans dire que cela "marchait avant"...



Avant quoi ?
Sans être un pro, j'avoue que ce pb me laisse perplexe !


J'ai épluché la doc de nsswitch et de libnss_ldap, mais le fait que
getent me retourne les bonnes valeurs me fait penser que le problème
n'est pas là.
J'ai donc épluché PAM, mais je ne vois rien qui cloche là non plus...

En fait, je ne comprends pas bien d'ou peut venir le problème, et je ne
sais vraiment plus quoi regarder, donc toute aide sera vraiment bien
venue !




Amicalement, Vincent Verdon
Publicité
Poster une réponse
Anonyme