Je me tourne vers vous parce que j'ai un petit myst=E8re que je ne parvie=
ns
pas =E0 =E9lucider. Et s'il y a un expert LDAP dans le coin, je serai tr=E8=
s
friand de ses lumi=E8res.
Sur mon r=E9seau local, un serveur ldap, et X clients. Les X clients
partageant le m=EAme /home par NFS.
M=EAme si je suis loin d'=EAtre un expert, mon serveur LDAP semble
fonctionner =E0 peu pr=E8s correctement, et ce, depuis un bon petit momen=
t
d=E9j=E0, m=EAme si je suis bien conscient que la config est un peu
hasardeuse.
Sur tous les clients, j'ai la m=EAme configuration nss_ldap et sshd (voir
plus bas).
Pourtant, je suis incapable de me connecter =E0 un des postes par
ssh. A priori, depuis peu de temps, mais je ne sais pas exactement quand
puisque je ne me connecte pas souvent =E0 ce poste (c'est le mien) par ss=
h.
Ce n'est pas un probl=E8me de cl=E9 ssh, mais bien de serveur ldap, puisq=
ue
dans /var/log/auth.log, je me retrouve avec des lignes :
Apr 20 01:22:06 KanelXP sshd[17827]: Accepted publickey for chris from 19=
2.168.0.101 port 57600 ssh2
Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session opened for user ch=
ris by (uid=3D0)
Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP serv=
er - Can't contact LDAP server
Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_get_lastlog: Cannot fin=
d account for uid 501
Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP serv=
er - Can't contact LDAP server
Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_init_entry: Cannot find=
user "chris"
Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session closed for user ch=
ris
Sur toutes les machines, j'ai les m=EAmes versions de openssh, nss_ldap,
pam_ldap. Je ne parviens pas =E0 trouver la diff=E9rence qui fasse que la
connexion me soit interdite sur cette machine.
Je sais bien que c'est difficile d'y voir clair pour vous avec si peu
d'=E9l=E9ments, je ne sais pas quoi donner de plus pour ne pas
embrouiller. Mais peut-=EAtre que vos questions me mettront sur la piste.=
..
Merci d'avance.
Derni=E8re minute avant de poster :
Quelque chose a manifestement chang=E9 quelque part, puisque sur mon post=
e :
$ ldapsearch -x -W -D "cn=3DManager,dc=3Dnovazur,dc=3Dfr" "uid=3Dchris"
Enter LDAP Password:
ldap_bind: Can't contact LDAP server (-1)
Ce qui pourtant fonctionnait bien avant. De plus, getent lui, renvoie les
bonnes informations.
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D /etc/ldap.conf =3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D
host ldap.novazur.fr
base dc=3Dnovazur,dc=3Dfr
scope sub
pam_filter objectclass=3Dposixaccount
pam_login_attribute uid
pam_member_attribute memberuid
pam_password exop
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D /etc/nsswitch.conf =3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D
passwd: files ldap
shadow: files ldap
group: files ldap
hosts: files dns ldap
networks: files dns
services: db files
protocols: db files
rpc: db files
ethers: db files
netmasks: files
netgroup: files
bootparams: files
automount: files
aliases: files
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Ivan Havlicek
Christophe PEREZ a écrit :
Ce n'est pas un problème de clé ssh, mais bien de serveur ldap, puisque dans /var/log/auth.log, je me retrouve avec des lignes :
Apr 20 01:22:06 KanelXP sshd[17827]: Accepted publickey for chris from 192.168.0.101 port 57600 ssh2 Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session opened for user chris by (uid=0) Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_get_lastlog: Cannot find account for uid 501 Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_init_entry: Cannot find user "chris" Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session closed for user chris
Dernière minute avant de poster : Quelque chose a manifestement changé quelque part, puisque sur mon poste : $ ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris" Enter LDAP Password: ldap_bind: Can't contact LDAP server (-1)
Salut,
J'aurais tendance à penser que ton problème vient plutôt d'un souci au niveau du protocole SSL d'échange des clés avec ton poste. Cela peut venir de la présence d'un certificat non valide dans le répertoire /etc/openldap/ssl/ de ton poste. Vérifie aussi que ton poste utilise bien la même version de openLDAP que les autres postes. Bon courage. -- Ivan -- mailing list
Christophe PEREZ a écrit :
Ce n'est pas un problème de clé ssh, mais bien de serveur ldap, puisque
dans /var/log/auth.log, je me retrouve avec des lignes :
Apr 20 01:22:06 KanelXP sshd[17827]: Accepted publickey for chris from 192.168.0.101 port 57600 ssh2
Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session opened for user chris by (uid=0)
Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server
Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_get_lastlog: Cannot find account for uid 501
Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server
Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_init_entry: Cannot find user "chris"
Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session closed for user chris
Dernière minute avant de poster :
Quelque chose a manifestement changé quelque part, puisque sur mon poste :
$ ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris"
Enter LDAP Password:
ldap_bind: Can't contact LDAP server (-1)
Salut,
J'aurais tendance à penser que ton problème vient plutôt d'un souci
au niveau du protocole SSL d'échange des clés avec ton poste.
Cela peut venir de la présence d'un certificat non valide dans
le répertoire /etc/openldap/ssl/ de ton poste.
Vérifie aussi que ton poste utilise bien la même version de openLDAP
que les autres postes.
Bon courage.
--
Ivan
--
gentoo-user-fr@gentoo.org mailing list
Ce n'est pas un problème de clé ssh, mais bien de serveur ldap, puisque dans /var/log/auth.log, je me retrouve avec des lignes :
Apr 20 01:22:06 KanelXP sshd[17827]: Accepted publickey for chris from 192.168.0.101 port 57600 ssh2 Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session opened for user chris by (uid=0) Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_get_lastlog: Cannot find account for uid 501 Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_init_entry: Cannot find user "chris" Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session closed for user chris
Dernière minute avant de poster : Quelque chose a manifestement changé quelque part, puisque sur mon poste : $ ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris" Enter LDAP Password: ldap_bind: Can't contact LDAP server (-1)
Salut,
J'aurais tendance à penser que ton problème vient plutôt d'un souci au niveau du protocole SSL d'échange des clés avec ton poste. Cela peut venir de la présence d'un certificat non valide dans le répertoire /etc/openldap/ssl/ de ton poste. Vérifie aussi que ton poste utilise bien la même version de openLDAP que les autres postes. Bon courage. -- Ivan -- mailing list
Christophe PEREZ
Le Thu, 20 Apr 2006 12:29:12 +0200, Ivan Havlicek a écrit :
Dernière minute avant de poster : Quelque chose a manifestement changé quelque part, puisque sur mon po ste : $ ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris" Enter LDAP Password: ldap_bind: Can't contact LDAP server (-1)
Salut,
J'aurais tendance à penser que ton problème vient plutôt d'un sou ci au niveau du protocole SSL d'échange des clés avec ton poste. Cela peut venir de la présence d'un certificat non valide dans le répertoire /etc/openldap/ssl/ de ton poste.
Je ne pense sincèrement pas. De plus, poursuivant à l'instant mes investigations, je me rends compte que ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris" en root me donne bien le résultat souhaité, aussi bien sur le serveur que le client.
Par contre, la même commande sur le serveur, en user chris, me renvoie : Enter LDAP Password: # extended LDIF # # LDAPv3 # base <> with scope sub # filter: uid=chris # requesting: ALL #
# search result search: 2 result: 32 No such object
# numResponses: 1
Il me semble bien que j'ai quelques anomalies dans le paramétrage de ld ap (mais ça j'en ai toujours été convaincu), peut-être les ACL, mais j'avoue ne pas y comprendre grand chose.
Ceci dit, je ne vois pas comment un problème de paramétrage sur le serveur pourrait causer un dysfonctionnement de ssh sur un seul poste.
Vérifie aussi que ton poste utilise bien la même version de openLDA P que les autres postes.
Normalement tout ça est OK.
Bon courage.
Merci, avec ldap, il en faut ;-)
PS : Je reste vraiment demandeur de contact avec un expert ldap.
-- Christophe PEREZ -- mailing list
Le Thu, 20 Apr 2006 12:29:12 +0200, Ivan Havlicek a écrit :
Dernière minute avant de poster :
Quelque chose a manifestement changé quelque part, puisque sur mon po ste :
$ ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris"
Enter LDAP Password:
ldap_bind: Can't contact LDAP server (-1)
Salut,
J'aurais tendance à penser que ton problème vient plutôt d'un sou ci
au niveau du protocole SSL d'échange des clés avec ton poste.
Cela peut venir de la présence d'un certificat non valide dans
le répertoire /etc/openldap/ssl/ de ton poste.
Je ne pense sincèrement pas.
De plus, poursuivant à l'instant mes investigations, je me rends compte
que ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris" en root
me donne bien le résultat souhaité, aussi bien sur le serveur que le
client.
Par contre, la même commande sur le serveur, en user chris, me renvoie :
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: uid=chris
# requesting: ALL
#
# search result
search: 2
result: 32 No such object
# numResponses: 1
Il me semble bien que j'ai quelques anomalies dans le paramétrage de ld ap
(mais ça j'en ai toujours été convaincu), peut-être les ACL, mais
j'avoue ne pas y comprendre grand chose.
Ceci dit, je ne vois pas comment un problème de paramétrage sur le
serveur pourrait causer un dysfonctionnement de ssh sur un seul poste.
Vérifie aussi que ton poste utilise bien la même version de openLDA P
que les autres postes.
Normalement tout ça est OK.
Bon courage.
Merci, avec ldap, il en faut ;-)
PS : Je reste vraiment demandeur de contact avec un expert ldap.
--
Christophe PEREZ
--
gentoo-user-fr@gentoo.org mailing list
Le Thu, 20 Apr 2006 12:29:12 +0200, Ivan Havlicek a écrit :
Dernière minute avant de poster : Quelque chose a manifestement changé quelque part, puisque sur mon po ste : $ ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris" Enter LDAP Password: ldap_bind: Can't contact LDAP server (-1)
Salut,
J'aurais tendance à penser que ton problème vient plutôt d'un sou ci au niveau du protocole SSL d'échange des clés avec ton poste. Cela peut venir de la présence d'un certificat non valide dans le répertoire /etc/openldap/ssl/ de ton poste.
Je ne pense sincèrement pas. De plus, poursuivant à l'instant mes investigations, je me rends compte que ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris" en root me donne bien le résultat souhaité, aussi bien sur le serveur que le client.
Par contre, la même commande sur le serveur, en user chris, me renvoie : Enter LDAP Password: # extended LDIF # # LDAPv3 # base <> with scope sub # filter: uid=chris # requesting: ALL #
# search result search: 2 result: 32 No such object
# numResponses: 1
Il me semble bien que j'ai quelques anomalies dans le paramétrage de ld ap (mais ça j'en ai toujours été convaincu), peut-être les ACL, mais j'avoue ne pas y comprendre grand chose.
Ceci dit, je ne vois pas comment un problème de paramétrage sur le serveur pourrait causer un dysfonctionnement de ssh sur un seul poste.
Vérifie aussi que ton poste utilise bien la même version de openLDA P que les autres postes.
Normalement tout ça est OK.
Bon courage.
Merci, avec ldap, il en faut ;-)
PS : Je reste vraiment demandeur de contact avec un expert ldap.
-- Christophe PEREZ -- mailing list
Christophe PEREZ
Le Thu, 20 Apr 2006 09:02:45 -0400, Christophe PEREZ a écrit :
De plus, poursuivant à l'instant mes investigations, je me rends comp te que ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chri s" en root me donne bien le résultat souhaité, aussi bien sur le serveur que l e client.
Bon, stupide erreur de ma part. Evidemment, une simple question de droits . En effet, nss_ldap se base sur /etc/ldap.conf, mais les outils openldap (ldapsearch etc...) eux, même sur le client, se basent sur /etc/openldap/ldap.conf. Or, ce fichier était en 640 root:ldap, donc évidemment lisible uniquement en root.
[...]
Ceci dit, je ne vois pas comment un problème de paramétrage sur le serveur pourrait causer un dysfonctionnement de ssh sur un seul poste.
Et évidemment, ça ne règle absolument pas le pb d'accès ssh. C'est quand même dingue.
Voici les logs les plus verbeux que j'ai avec ssh, mais ça ne me renseigne pas beaucoup plus sur l'erreur nss_ldap :
Je poursuis mes recherches, mais si quelqu'un a une idée... Merci.
-- Christophe PEREZ -- mailing list
Le Thu, 20 Apr 2006 09:02:45 -0400, Christophe PEREZ a écrit :
De plus, poursuivant à l'instant mes investigations, je me rends comp te
que ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chri s" en root
me donne bien le résultat souhaité, aussi bien sur le serveur que l e
client.
Bon, stupide erreur de ma part. Evidemment, une simple question de droits .
En effet, nss_ldap se base sur /etc/ldap.conf, mais les outils openldap
(ldapsearch etc...) eux, même sur le client, se basent sur
/etc/openldap/ldap.conf.
Or, ce fichier était en 640 root:ldap, donc évidemment lisible
uniquement en root.
[...]
Ceci dit, je ne vois pas comment un problème de paramétrage sur le
serveur pourrait causer un dysfonctionnement de ssh sur un seul poste.
Et évidemment, ça ne règle absolument pas le pb d'accès ssh.
C'est quand même dingue.
Voici les logs les plus verbeux que j'ai avec ssh, mais ça ne me
renseigne pas beaucoup plus sur l'erreur nss_ldap :
Le Thu, 20 Apr 2006 09:02:45 -0400, Christophe PEREZ a écrit :
De plus, poursuivant à l'instant mes investigations, je me rends comp te que ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chri s" en root me donne bien le résultat souhaité, aussi bien sur le serveur que l e client.
Bon, stupide erreur de ma part. Evidemment, une simple question de droits . En effet, nss_ldap se base sur /etc/ldap.conf, mais les outils openldap (ldapsearch etc...) eux, même sur le client, se basent sur /etc/openldap/ldap.conf. Or, ce fichier était en 640 root:ldap, donc évidemment lisible uniquement en root.
[...]
Ceci dit, je ne vois pas comment un problème de paramétrage sur le serveur pourrait causer un dysfonctionnement de ssh sur un seul poste.
Et évidemment, ça ne règle absolument pas le pb d'accès ssh. C'est quand même dingue.
Voici les logs les plus verbeux que j'ai avec ssh, mais ça ne me renseigne pas beaucoup plus sur l'erreur nss_ldap :
Je poursuis mes recherches, mais si quelqu'un a une idée... Merci.
-- Christophe PEREZ -- mailing list
Christophe PEREZ
Le Fri, 21 Apr 2006 16:52:31 -0400, Christophe PEREZ a écrit :
Je poursuis mes recherches, mais si quelqu'un a une idée...
Ahh ! Il semblerait que de passer en nss_ldap-249 (masqué) sur cette machine règle le problème. C'est donc probablement une question d'incompatibilité entre les différentes couches puisque la précédente version que j'avais, je l 'ai sur d'autres machines sans avoir de problème, mais aucune n'avait exactement le même openldap/pam_ldap/nss_ldap/openssh.
Merci.
Je t'en prie ;-)
-- Christophe PEREZ -- mailing list
Le Fri, 21 Apr 2006 16:52:31 -0400, Christophe PEREZ a écrit :
Je poursuis mes recherches, mais si quelqu'un a une idée...
Ahh !
Il semblerait que de passer en nss_ldap-249 (masqué) sur cette machine
règle le problème.
C'est donc probablement une question d'incompatibilité entre les
différentes couches puisque la précédente version que j'avais, je l 'ai
sur d'autres machines sans avoir de problème, mais aucune n'avait
exactement le même openldap/pam_ldap/nss_ldap/openssh.
Merci.
Je t'en prie ;-)
--
Christophe PEREZ
--
gentoo-user-fr@gentoo.org mailing list
Le Fri, 21 Apr 2006 16:52:31 -0400, Christophe PEREZ a écrit :
Je poursuis mes recherches, mais si quelqu'un a une idée...
Ahh ! Il semblerait que de passer en nss_ldap-249 (masqué) sur cette machine règle le problème. C'est donc probablement une question d'incompatibilité entre les différentes couches puisque la précédente version que j'avais, je l 'ai sur d'autres machines sans avoir de problème, mais aucune n'avait exactement le même openldap/pam_ldap/nss_ldap/openssh.