pam_ldap problem

[Tibor Pittich]

11. septembra 2005 o 22:56, Milan Kocián píše:

> On Sun, 2005-09-11 at 00:00 +0200, Ondrej Puzman wrote:

> > snazim se rozbehat autentizaci uzivatelu na Debianu pomoci pam_ldap.

> jen vystrel do vzduchu: /etc/libnss-ldap.conf + nssswitch.conf mate
> nastavene? Podle me dalsi BIND via libnss, kdy se system snazi zjistit
> neco o uzivateli (home, uid, gid, ...). 

milan zjavne nepochopil, aký je rozdiel medzi pam a nss...

> 'getent passwd' jako root Vam toho uzivatele z ldapu vypise?

a prečo by ako mal?


> > Problem je, ze kdyz se pam_ldap pokousi provest bind na jmeno
> > uzivatele, tak se mu to nepodari (Invalid credentials). Pokud zkusim
> > bind, treba pomoci ldapsearch, tak vse funguje spravne - uz naprosto
> > netusim, kde by mohla byt chyba.

> > Sep 11 01:32:53 localhost slapd[5633]: conn=0 op=2 BIND
> > dn="uid=puzman,ou=people,dc=amit,dc=cz" method=128
> > Sep 11 01:32:53 localhost slapd[5633]: conn=0 op=2 RESULT tag=97
> > err=49 text=

tak error 49 znamená "LDAP_INVALID_CREDENTIALS", čo môže znamenať, že
používateľ má v profile zadefinovaný atribút userPassword v inom formáte
ako ho očakáva pam. t.j. namiesto množstva zbytočných logov by sa zišlo
ukázať predmetný profil používateľa a či jeho heslo je naozaj uložené
v systémom podporovanom formáte.
inak povedané, to že heslo uložené napríklad ako sha hash je možné
použiť pre bindnutie daného dn k databáze automaticky neznamená, že
systém skrz pam musí takémuto hashu s heslom rozumieť.

-- 
professional home page                  -> http://tibor.pittich.sk
personal blog                           -> http://blog.phuture.sk
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20050911/f3885a20/attachment.sig>