pam_ldap problem
Tibor Pittich
Tibor.Pittich na phuture.sk
Neděle Září 11 23:24:06 CEST 2005
11. septembra 2005 o 22:56, Milan Kocián píše:
> On Sun, 2005-09-11 at 00:00 +0200, Ondrej Puzman wrote:
> > snazim se rozbehat autentizaci uzivatelu na Debianu pomoci pam_ldap.
> jen vystrel do vzduchu: /etc/libnss-ldap.conf + nssswitch.conf mate
> nastavene? Podle me dalsi BIND via libnss, kdy se system snazi zjistit
> neco o uzivateli (home, uid, gid, ...).
milan zjavne nepochopil, aký je rozdiel medzi pam a nss...
> 'getent passwd' jako root Vam toho uzivatele z ldapu vypise?
a prečo by ako mal?
> > Problem je, ze kdyz se pam_ldap pokousi provest bind na jmeno
> > uzivatele, tak se mu to nepodari (Invalid credentials). Pokud zkusim
> > bind, treba pomoci ldapsearch, tak vse funguje spravne - uz naprosto
> > netusim, kde by mohla byt chyba.
> > Sep 11 01:32:53 localhost slapd[5633]: conn=0 op=2 BIND
> > dn="uid=puzman,ou=people,dc=amit,dc=cz" method=128
> > Sep 11 01:32:53 localhost slapd[5633]: conn=0 op=2 RESULT tag=97
> > err=49 text=
tak error 49 znamená "LDAP_INVALID_CREDENTIALS", čo môže znamenať, že
používateľ má v profile zadefinovaný atribút userPassword v inom formáte
ako ho očakáva pam. t.j. namiesto množstva zbytočných logov by sa zišlo
ukázať predmetný profil používateľa a či jeho heslo je naozaj uložené
v systémom podporovanom formáte.
inak povedané, to že heslo uložené napríklad ako sha hash je možné
použiť pre bindnutie daného dn k databáze automaticky neznamená, že
systém skrz pam musí takémuto hashu s heslom rozumieť.
--
professional home page -> http://tibor.pittich.sk
personal blog -> http://blog.phuture.sk
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20050911/f3885a20/attachment.sig>
Další informace o konferenci Linux