Je suis en train d'installer LDAP chez moi.
Etat des choses :
LDAP installé et configuré (user admin comme rootdn)
SASL installé et user admin créé
J'arrive à dialoguer avec ldap en ligne de commande avec ldapsearch ,
ldapadd, ... en utilisant l'authentification via SASL.
J'ai configuré PAM pour utiliser mon LDAP pour
authentification/autorisation de login (pour login, su, shh, ...).
Mais la ca foire :
: ~ su usertest
Password:
su: Insufficient credentials to access authentication data
: ~
D'après ce que j'ai compris, le pb ne vient pas de LDAP mais de SASL qu i
ne m'autorise même pas à intérrogé LDAP.
Pourtant j'ai le joli bloc suivant dans mon slapd.conf :
<code>
access to attribute=userPassword
by dn="cnmin,dc=golfeteam" write
by anonymous auth
by self write
by * none
</code>
Je suis en train d'installer LDAP chez moi.
Etat des choses :
LDAP installé et configuré (user admin comme rootdn)
SASL installé et user admin créé
J'arrive à dialoguer avec ldap en ligne de commande avec ldapsearch ,
ldapadd, ... en utilisant l'authentification via SASL.
J'ai configuré PAM pour utiliser mon LDAP pour
authentification/autorisation de login (pour login, su, shh, ...).
Mais la ca foire :
jo@chezmoi: ~ su usertest
Password:
su: Insufficient credentials to access authentication data
jo@chezmoi: ~
D'après ce que j'ai compris, le pb ne vient pas de LDAP mais de SASL qu i
ne m'autorise même pas à intérrogé LDAP.
Pourtant j'ai le joli bloc suivant dans mon slapd.conf :
<code>
access to attribute=userPassword
by dn="cn=admin,dc=golfeteam" write
by anonymous auth
by self write
by * none
</code>
Je suis en train d'installer LDAP chez moi.
Etat des choses :
LDAP installé et configuré (user admin comme rootdn)
SASL installé et user admin créé
J'arrive à dialoguer avec ldap en ligne de commande avec ldapsearch ,
ldapadd, ... en utilisant l'authentification via SASL.
J'ai configuré PAM pour utiliser mon LDAP pour
authentification/autorisation de login (pour login, su, shh, ...).
Mais la ca foire :
: ~ su usertest
Password:
su: Insufficient credentials to access authentication data
: ~
D'après ce que j'ai compris, le pb ne vient pas de LDAP mais de SASL qu i
ne m'autorise même pas à intérrogé LDAP.
Pourtant j'ai le joli bloc suivant dans mon slapd.conf :
<code>
access to attribute=userPassword
by dn="cnmin,dc=golfeteam" write
by anonymous auth
by self write
by * none
</code>
Le lundi 06 septembre 2004 à 11:35 +0200, Joachim Habib a écrit :Je suis en train d'installer LDAP chez moi.
Etat des choses :
LDAP installé et configuré (user admin comme rootdn)
SASL installé et user admin créé
J'arrive à dialoguer avec ldap en ligne de commande avec ldapsearch,
ldapadd, ... en utilisant l'authentification via SASL.
C'est bien d'en être arrivé jusque-là tout seul ;-)
J'ai configuré PAM pour utiliser mon LDAP pour
authentification/autorisation de login (pour login, su, shh, ...).
Mais la ca foire :
: ~ su usertest
Password:
su: Insufficient credentials to access authentication data
: ~
D'après ce que j'ai compris, le pb ne vient pas de LDAP mais de SASL qui
ne m'autorise même pas à intérrogé LDAP.
Pourtant, tu prétends y arriver via la commande ldapsearch.
Peux-tu nous donner la commande que tu tapes, caractères pour
caractères, ainsi que le contenu du fichier /etc/pam_ldap.conf:
$ grep -v ^# /etc/pam_ldap.conf | grep -v ^$ (par exemple)
Pourtant j'ai le joli bloc suivant dans mon slapd.conf :
<code>
access to attribute=userPassword
by dn="cnmin,dc=golfeteam" write
by anonymous auth
by self write
by * none
</code>
Ça, c'est ce qu'il y a dans /etc/ldap/slapd.conf par défaut.
Le lundi 06 septembre 2004 à 11:35 +0200, Joachim Habib a écrit :
Je suis en train d'installer LDAP chez moi.
Etat des choses :
LDAP installé et configuré (user admin comme rootdn)
SASL installé et user admin créé
J'arrive à dialoguer avec ldap en ligne de commande avec ldapsearch,
ldapadd, ... en utilisant l'authentification via SASL.
C'est bien d'en être arrivé jusque-là tout seul ;-)
J'ai configuré PAM pour utiliser mon LDAP pour
authentification/autorisation de login (pour login, su, shh, ...).
Mais la ca foire :
jo@chezmoi: ~ su usertest
Password:
su: Insufficient credentials to access authentication data
jo@chezmoi: ~
D'après ce que j'ai compris, le pb ne vient pas de LDAP mais de SASL qui
ne m'autorise même pas à intérrogé LDAP.
Pourtant, tu prétends y arriver via la commande ldapsearch.
Peux-tu nous donner la commande que tu tapes, caractères pour
caractères, ainsi que le contenu du fichier /etc/pam_ldap.conf:
$ grep -v ^# /etc/pam_ldap.conf | grep -v ^$ (par exemple)
Pourtant j'ai le joli bloc suivant dans mon slapd.conf :
<code>
access to attribute=userPassword
by dn="cnmin,dc=golfeteam" write
by anonymous auth
by self write
by * none
</code>
Ça, c'est ce qu'il y a dans /etc/ldap/slapd.conf par défaut.
Le lundi 06 septembre 2004 à 11:35 +0200, Joachim Habib a écrit :Je suis en train d'installer LDAP chez moi.
Etat des choses :
LDAP installé et configuré (user admin comme rootdn)
SASL installé et user admin créé
J'arrive à dialoguer avec ldap en ligne de commande avec ldapsearch,
ldapadd, ... en utilisant l'authentification via SASL.
C'est bien d'en être arrivé jusque-là tout seul ;-)
J'ai configuré PAM pour utiliser mon LDAP pour
authentification/autorisation de login (pour login, su, shh, ...).
Mais la ca foire :
: ~ su usertest
Password:
su: Insufficient credentials to access authentication data
: ~
D'après ce que j'ai compris, le pb ne vient pas de LDAP mais de SASL qui
ne m'autorise même pas à intérrogé LDAP.
Pourtant, tu prétends y arriver via la commande ldapsearch.
Peux-tu nous donner la commande que tu tapes, caractères pour
caractères, ainsi que le contenu du fichier /etc/pam_ldap.conf:
$ grep -v ^# /etc/pam_ldap.conf | grep -v ^$ (par exemple)
Pourtant j'ai le joli bloc suivant dans mon slapd.conf :
<code>
access to attribute=userPassword
by dn="cnmin,dc=golfeteam" write
by anonymous auth
by self write
by * none
</code>
Ça, c'est ce qu'il y a dans /etc/ldap/slapd.conf par défaut.
Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
Le lundi 06 septembre 2004 à 13:09 +0200, Joachim Habib a écrit :Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
De mémoire, via le fichier /etc/nsswitch.conf, tu peux garder la
préférence pour les fichiers (donc /etc/passwd, etc.) et avoir ldap
derrière:
# cat /etc/nsswitch.conf:
passwd: files ldap
group: files ldap
shadow: files ldap
...
Et pour tout le reste, tu fais comme bon te semble.
Par contre, veille à ne pas ajouter d'utilisateur dans ces fichiers,
sans quoi ils auraient la préférence sur un utilisateur équivalent de ta
base LDAP...
Bonne continuation !
Le lundi 06 septembre 2004 à 13:09 +0200, Joachim Habib a écrit :
Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
De mémoire, via le fichier /etc/nsswitch.conf, tu peux garder la
préférence pour les fichiers (donc /etc/passwd, etc.) et avoir ldap
derrière:
# cat /etc/nsswitch.conf:
passwd: files ldap
group: files ldap
shadow: files ldap
...
Et pour tout le reste, tu fais comme bon te semble.
Par contre, veille à ne pas ajouter d'utilisateur dans ces fichiers,
sans quoi ils auraient la préférence sur un utilisateur équivalent de ta
base LDAP...
Bonne continuation !
Le lundi 06 septembre 2004 à 13:09 +0200, Joachim Habib a écrit :Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
De mémoire, via le fichier /etc/nsswitch.conf, tu peux garder la
préférence pour les fichiers (donc /etc/passwd, etc.) et avoir ldap
derrière:
# cat /etc/nsswitch.conf:
passwd: files ldap
group: files ldap
shadow: files ldap
...
Et pour tout le reste, tu fais comme bon te semble.
Par contre, veille à ne pas ajouter d'utilisateur dans ces fichiers,
sans quoi ils auraient la préférence sur un utilisateur équivalent de ta
base LDAP...
Bonne continuation !
Raphaël "SurcouF" Bordet wrote:Le lundi 06 septembre 2004 à 13:09 +0200, Joachim Habib a écrit :Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
De mémoire, via le fichier /etc/nsswitch.conf, tu peux garder la
préférence pour les fichiers (donc /etc/passwd, etc.) et avoir ldap
derrière:
# cat /etc/nsswitch.conf:
passwd: files ldap
group: files ldap
shadow: files ldap
...
Et pour tout le reste, tu fais comme bon te semble.
Par contre, veille à ne pas ajouter d'utilisateur dans ces fichiers,
sans quoi ils auraient la préférence sur un utilisateur équivalent de ta
base LDAP...
Bonne continuation !
Je viens d'essayer.
En fait ca marche pas vraiment.
En fait nsswitch me permet d'authentifier mes utilisateurs (ls -l me
donne bien root comme propriétaire des fichier dont le proprio a 0
comme uid) , mais en revanche je ne peut plus me logguer en root :
su: User not known to the underlying authentication module
Ca me parait assez logique puisque j'ai demandé à pam d'utiliser ldap
comme système d'authentification/autorisation.
Est-il possible de dire à pam de faire l'un puis l'autre en cas
d'échec du premier ?
Merci
Jo
Raphaël "SurcouF" Bordet wrote:
Le lundi 06 septembre 2004 à 13:09 +0200, Joachim Habib a écrit :
Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
De mémoire, via le fichier /etc/nsswitch.conf, tu peux garder la
préférence pour les fichiers (donc /etc/passwd, etc.) et avoir ldap
derrière:
# cat /etc/nsswitch.conf:
passwd: files ldap
group: files ldap
shadow: files ldap
...
Et pour tout le reste, tu fais comme bon te semble.
Par contre, veille à ne pas ajouter d'utilisateur dans ces fichiers,
sans quoi ils auraient la préférence sur un utilisateur équivalent de ta
base LDAP...
Bonne continuation !
Je viens d'essayer.
En fait ca marche pas vraiment.
En fait nsswitch me permet d'authentifier mes utilisateurs (ls -l me
donne bien root comme propriétaire des fichier dont le proprio a 0
comme uid) , mais en revanche je ne peut plus me logguer en root :
su: User not known to the underlying authentication module
Ca me parait assez logique puisque j'ai demandé à pam d'utiliser ldap
comme système d'authentification/autorisation.
Est-il possible de dire à pam de faire l'un puis l'autre en cas
d'échec du premier ?
Merci
Jo
Raphaël "SurcouF" Bordet wrote:Le lundi 06 septembre 2004 à 13:09 +0200, Joachim Habib a écrit :Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
De mémoire, via le fichier /etc/nsswitch.conf, tu peux garder la
préférence pour les fichiers (donc /etc/passwd, etc.) et avoir ldap
derrière:
# cat /etc/nsswitch.conf:
passwd: files ldap
group: files ldap
shadow: files ldap
...
Et pour tout le reste, tu fais comme bon te semble.
Par contre, veille à ne pas ajouter d'utilisateur dans ces fichiers,
sans quoi ils auraient la préférence sur un utilisateur équivalent de ta
base LDAP...
Bonne continuation !
Je viens d'essayer.
En fait ca marche pas vraiment.
En fait nsswitch me permet d'authentifier mes utilisateurs (ls -l me
donne bien root comme propriétaire des fichier dont le proprio a 0
comme uid) , mais en revanche je ne peut plus me logguer en root :
su: User not known to the underlying authentication module
Ca me parait assez logique puisque j'ai demandé à pam d'utiliser ldap
comme système d'authentification/autorisation.
Est-il possible de dire à pam de faire l'un puis l'autre en cas
d'échec du premier ?
Merci
Jo
Joachim Habib wrote:Raphaël "SurcouF" Bordet wrote:Le lundi 06 septembre 2004 à 13:09 +0200, Joachim Habib a écrit :Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
De mémoire, via le fichier /etc/nsswitch.conf, tu peux garder la
préférence pour les fichiers (donc /etc/passwd, etc.) et avoir ldap
derrière:
# cat /etc/nsswitch.conf:
passwd: files ldap
group: files ldap
shadow: files ldap
...
Et pour tout le reste, tu fais comme bon te semble.
Par contre, veille à ne pas ajouter d'utilisateur dans ces fichiers,
sans quoi ils auraient la préférence sur un utilisateur équivalent
de ta
base LDAP...
Bonne continuation !
Je viens d'essayer.
En fait ca marche pas vraiment.
En fait nsswitch me permet d'authentifier mes utilisateurs (ls -l me
donne bien root comme propriétaire des fichier dont le proprio a 0
comme uid) , mais en revanche je ne peut plus me logguer en root :
su: User not known to the underlying authentication module
Ca me parait assez logique puisque j'ai demandé à pam d'utiliser ldap
comme système d'authentification/autorisation.
Est-il possible de dire à pam de faire l'un puis l'autre en cas
d'échec du premier ?
Merci
Jo
montre nous le contenu des fichiers su, login, ssh contenus dans
/etc/pam.d
Joachim Habib wrote:
Raphaël "SurcouF" Bordet wrote:
Le lundi 06 septembre 2004 à 13:09 +0200, Joachim Habib a écrit :
Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
De mémoire, via le fichier /etc/nsswitch.conf, tu peux garder la
préférence pour les fichiers (donc /etc/passwd, etc.) et avoir ldap
derrière:
# cat /etc/nsswitch.conf:
passwd: files ldap
group: files ldap
shadow: files ldap
...
Et pour tout le reste, tu fais comme bon te semble.
Par contre, veille à ne pas ajouter d'utilisateur dans ces fichiers,
sans quoi ils auraient la préférence sur un utilisateur équivalent
de ta
base LDAP...
Bonne continuation !
Je viens d'essayer.
En fait ca marche pas vraiment.
En fait nsswitch me permet d'authentifier mes utilisateurs (ls -l me
donne bien root comme propriétaire des fichier dont le proprio a 0
comme uid) , mais en revanche je ne peut plus me logguer en root :
su: User not known to the underlying authentication module
Ca me parait assez logique puisque j'ai demandé à pam d'utiliser ldap
comme système d'authentification/autorisation.
Est-il possible de dire à pam de faire l'un puis l'autre en cas
d'échec du premier ?
Merci
Jo
montre nous le contenu des fichiers su, login, ssh contenus dans
/etc/pam.d
Joachim Habib wrote:Raphaël "SurcouF" Bordet wrote:Le lundi 06 septembre 2004 à 13:09 +0200, Joachim Habib a écrit :Puisque je t'ai sous la main ;)
Sais-tu comment je peux faire pour que le user root reste dans
/etc/password ?
J'ai pas trop envie de l'exporter.
De mémoire, via le fichier /etc/nsswitch.conf, tu peux garder la
préférence pour les fichiers (donc /etc/passwd, etc.) et avoir ldap
derrière:
# cat /etc/nsswitch.conf:
passwd: files ldap
group: files ldap
shadow: files ldap
...
Et pour tout le reste, tu fais comme bon te semble.
Par contre, veille à ne pas ajouter d'utilisateur dans ces fichiers,
sans quoi ils auraient la préférence sur un utilisateur équivalent
de ta
base LDAP...
Bonne continuation !
Je viens d'essayer.
En fait ca marche pas vraiment.
En fait nsswitch me permet d'authentifier mes utilisateurs (ls -l me
donne bien root comme propriétaire des fichier dont le proprio a 0
comme uid) , mais en revanche je ne peut plus me logguer en root :
su: User not known to the underlying authentication module
Ca me parait assez logique puisque j'ai demandé à pam d'utiliser ldap
comme système d'authentification/autorisation.
Est-il possible de dire à pam de faire l'un puis l'autre en cas
d'échec du premier ?
Merci
Jo
montre nous le contenu des fichiers su, login, ssh contenus dans
/etc/pam.d
voici mon fichier /etc/pam.d/su
auth sufficient pam_rootok.so
auth required /lib/security/pam_ldap.so
account required /lib/security/pam_ldap.so
session required pam_unix.so
voici mon fichier /etc/pam.d/su
auth sufficient pam_rootok.so
auth required /lib/security/pam_ldap.so
account required /lib/security/pam_ldap.so
session required pam_unix.so
voici mon fichier /etc/pam.d/su
auth sufficient pam_rootok.so
auth required /lib/security/pam_ldap.so
account required /lib/security/pam_ldap.so
session required pam_unix.so
Joachim Habib wrote:
voici mon fichier /etc/pam.d/su
auth sufficient pam_rootok.so
auth required /lib/security/pam_ldap.so
account required /lib/security/pam_ldap.so
session required pam_unix.so
essaye avec ça
------
auth sufficient pam_rootok.so
auth required pam_env.so
auth sufficient pam_ldap.so
auth sufficient pam_unix.so shadow use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
@include common-auth
session required pam_limits.so
@include common-account
@include common-session
session optional pam_lastlog.so
Cordialement
Laurent
Joachim Habib wrote:
voici mon fichier /etc/pam.d/su
auth sufficient pam_rootok.so
auth required /lib/security/pam_ldap.so
account required /lib/security/pam_ldap.so
session required pam_unix.so
essaye avec ça
------
auth sufficient pam_rootok.so
auth required pam_env.so
auth sufficient pam_ldap.so
auth sufficient pam_unix.so shadow use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
@include common-auth
session required pam_limits.so
@include common-account
@include common-session
session optional pam_lastlog.so
Cordialement
Laurent
Joachim Habib wrote:
voici mon fichier /etc/pam.d/su
auth sufficient pam_rootok.so
auth required /lib/security/pam_ldap.so
account required /lib/security/pam_ldap.so
session required pam_unix.so
essaye avec ça
------
auth sufficient pam_rootok.so
auth required pam_env.so
auth sufficient pam_ldap.so
auth sufficient pam_unix.so shadow use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
@include common-auth
session required pam_limits.so
@include common-account
@include common-session
session optional pam_lastlog.so
Cordialement
Laurent
essaye avec ça
------
auth sufficient pam_rootok.so
auth required pam_env.so
auth sufficient pam_ldap.so
auth sufficient pam_unix.so shadow use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
@include common-auth
session required pam_limits.so
@include common-account
@include common-session
session optional pam_lastlog.so
Cordialement
Laurent
Effectivement, ca marche.
Peux-tu me donner quelques explications ? :)
Faut-il que je modifie tous mes script dans pam.d ?
Pour l'instant je n'ai modifié que les fichiers common-* pensant que
ca suffisait. Apparement c'est pas le cas
essaye avec ça
------
auth sufficient pam_rootok.so
auth required pam_env.so
auth sufficient pam_ldap.so
auth sufficient pam_unix.so shadow use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
@include common-auth
session required pam_limits.so
@include common-account
@include common-session
session optional pam_lastlog.so
Cordialement
Laurent
Effectivement, ca marche.
Peux-tu me donner quelques explications ? :)
Faut-il que je modifie tous mes script dans pam.d ?
Pour l'instant je n'ai modifié que les fichiers common-* pensant que
ca suffisait. Apparement c'est pas le cas
essaye avec ça
------
auth sufficient pam_rootok.so
auth required pam_env.so
auth sufficient pam_ldap.so
auth sufficient pam_unix.so shadow use_first_pass
auth required pam_deny.so
account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
@include common-auth
session required pam_limits.so
@include common-account
@include common-session
session optional pam_lastlog.so
Cordialement
Laurent
Effectivement, ca marche.
Peux-tu me donner quelques explications ? :)
Faut-il que je modifie tous mes script dans pam.d ?
Pour l'instant je n'ai modifié que les fichiers common-* pensant que
ca suffisait. Apparement c'est pas le cas