CentOS 7 上的 LDAP 身份驗證
升級到 CentOS 7 後,無法再通過 LDAP 登錄。在 CentOS 6 中,我使用了pam_ldap軟體包,它執行良好,但現在 pam_ldap 不再適用於新版本的 CentOS。
通過ldapsearch連接仍然可以正常工作,但嘗試通過 ssh 進行身份驗證不起作用。
我重新安裝了包nss-pam-ldapd並通過authconfig-tui重新配置了身份驗證,但它仍然不起作用。
下面我用user.name替換我的使用者名,用dc=sub,dc=example,dc=org替換 base 。
我的主機作業系統是 CentOS 7。安裝了所有目前可用的更新。
$ uname -a Linux isfet 3.10.0-123.8.1.el7.x86_64 #1 SMP Mon Sep 22 19:06:58 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
已安裝的軟體包
$ rpm -qa | grep -i ldap openldap-2.4.39-3.el7.x86_64 nss-pam-ldapd-0.8.13-8.el7.x86_64 openldap-clients-2.4.39-3.el7.x86_64
/etc/openldap/ldap.conf的內容
URI ldap://172.16.64.25 BASE dc=sub,dc=example,dc=org
/etc/nslcd.conf的內容
ldap_version 3 uri ldap://172.16.64.25 base dc=sub,dc=example,dc=org ssl no
/var/log/secure的輸出
Oct 6 12:12:16 isfet sshd[3937]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.16.64.1 user=user.name Oct 6 12:12:17 isfet sshd[3937]: Failed password for user.name from 172.16.64.1 port 18877 ssh2
/var/log/audit/audit.log的輸出
type=USER_AUTH msg=audit(1412590243.286:364): pid=3912 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication acct="user.name" exe="/usr/sbin/sshd" hostname=172.16.64.1 addr=172.16.64.1 terminal=ssh res=failed' type=USER_AUTH msg=audit(1412590243.287:365): pid=3912 uid=0 auid=4294967295 ses=4294967295 msg='op=password acct="user.name" exe="/usr/sbin/sshd" hostname=? addr=172.16.64.1 terminal=ssh res=failed'
ldapserach命令的輸出
$ ldapsearch -H ldap://172.16.64.25/ -D cn=Manager,dc=sub,dc=example,dc=org -W -x -b dc=sub,dc=example,dc=org -d1 ldap_url_parse_ext(ldap://172.16.64.25/) ldap_create ldap_url_parse_ext(ldap://172.16.64.25:389/??base) Enter LDAP Password: ldap_sasl_bind ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host: TCP 172.16.64.25:389 ldap_new_socket: 3 ldap_prepare_socket: 3 ldap_connect_to_host: Trying 172.16.64.25:389 ldap_pvt_connect: fd: 3 tm: -1 async: 0 attempting to connect: connect success ldap_open_defconn: successful ldap_send_server_request ber_scanf fmt ({it) ber: ber_scanf fmt ({i) ber: ber_flush2: 61 bytes to sd 3 ldap_result ld 0x7f9b07402110 msgid 1 wait4msg ld 0x7f9b07402110 msgid 1 (infinite timeout) wait4msg continue ld 0x7f9b07402110 msgid 1 all 1 ** ld 0x7f9b07402110 Connections: * host: 172.16.64.25 port: 389 (default) refcnt: 2 status: Connected last used: Mon Oct 6 12:04:38 2014 ** ld 0x7f9b07402110 Outstanding Requests: * msgid 1, origid 1, status InProgress outstanding referrals 0, parent count 0 ld 0x7f9b07402110 request count 1 (abandoned 0) ** ld 0x7f9b07402110 Response Queue: Empty ld 0x7f9b07402110 response count 0 ldap_chkResponseList ld 0x7f9b07402110 msgid 1 all 1 ldap_chkResponseList returns ld 0x7f9b07402110 NULL ldap_int_select read1msg: ld 0x7f9b07402110 msgid 1 all 1 ber_get_next ber_get_next: tag 0x30 len 50 contents: read1msg: ld 0x7f9b07402110 msgid 1 message type bind ber_scanf fmt ({eAA) ber: read1msg: ld 0x7f9b07402110 0 new referrals read1msg: mark request completed, ld 0x7f9b07402110 msgid 1 request done: ld 0x7f9b07402110 msgid 1 res_errno: 0, res_error: <>, res_matched: <cn=Manager,dc=sub,dc=example,dc=org> ldap_free_request (origid 1, msgid 1) ldap_parse_result ber_scanf fmt ({iAA) ber: ber_scanf fmt (}) ber: ldap_msgfree ldap_err2string ldap_bind: Success (0) matched DN: cn=Manager,dc=sub,dc=example,dc=org ...
_/etc/pam.d/password-auth 的內容
auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account [default=bad success=ok user_unknown=ignore] pam_ldap.so account required pam_permit.so password requisite pam_pwquality.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_ldap.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_ldap.so
_/etc/pam.d/system-auth 的內容
auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account [default=bad success=ok user_unknown=ignore] pam_ldap.so account required pam_permit.so password requisite pam_pwquality.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_ldap.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_ldap.so
在調試模式下執行nslcd會顯示問題:
$ $(which nslcd) -d ... nslcd: [8b4567] <authc="user.name"> DEBUG: myldap_search(base="dc=sub,dc=example,dc=org", filter="(&(objectClass=posixAccount)(uid=user.name))") ... nslcd: [8b4567] <authc="user.name"> DEBUG: ldap_result(): end of results (0 total) nslcd: [8b4567] <authc="user.name"> DEBUG: "user.name": user not found: No such object ...
nslcd預設設置一個過濾器。無法刪除此過濾器或將其設置為空白。
因為我的 LDAP 使用者都沒有名為posixAccount的 objectClass,所以找不到使用者並且登錄被拒絕。
為了解決這個問題,我不得不用自己的過濾器覆蓋這個過濾器。因為我正在尋找uid,所以在無論如何都要搜尋的屬性上設置過濾器很有用。
我的/etc/nslcd.conf的新內容:
filter passwd (uid=*) uri ldap://172.16.64.25 base dc=sub,dc=example,dc=org ssl no
更改nslcd.conf後,我不得不重新啟動服務 nslcd:
systemctl restart nslcd
資料來源: http: //lists.arthurdejong.org/nss-pam-ldapd-users/2014/msg00025.html
.
這似乎是 CentOS 7 上的 nss-pam-ldapd-0.8.13-8.el7.x86_64 的問題!
$ nslcd -V nss-pam-ldapd 0.8.13
我試圖在 CentOS 6 上重現這個問題,但是在這個 nss-pam-ldapd 上依賴於pam_ldap,它的配置文件在 /etc/pam_ldap.conf 中,並且似乎沒有使用 /etc/nslcd.conf 它的工作方式在 CentOS 7 上。