Ldap

OpenLDAP 客戶端配置。可以搜尋但無法登錄?

  • January 9, 2014

我正在嘗試在 Gentoo 工作站上設置 LDAP 以針對中央伺服器進行身份驗證。但是,我遇到了一些問題,我真的希望你們能在這裡幫助我:)

首先,LDAP 伺服器執行良好,因為其他機器可以連接到它。其次,我按照Gentoo wiki上的指南設置客戶端。第三,我什至嘗試使用其他工作站的 ldap/nss/pam 配置文件,但仍然無法登錄……

有效的是 ldapsearch:

ldapsearch -Z '(objectclass=*)'

我將 -Z 用於 TSL(這就是我讀它的目的),但 -x 也可以。

從我的研究/Google搜尋/嘗試來看,錯誤似乎不是 ldap 而是 nss 配置?任何幫助將不勝感激 :)

這是 ldap.conf (略有編輯)

timelimit 120
bind_timelimit 120
idle_timelimit 3600

TLS_CACERTDIR /etc/openldap/cacerts
URI ldaps://<sub>.<domain>.edu/
BASE dc=<sub>,dc=<domain>,dc=edu

# Just assume that there are no supplemental groups for these named users
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman,nscd,gdm,polkituser,    rtkit,pulse

ssl start_tls
TLS_CHECKPEER no
TLS_CRLCHECK none
TLS_REQCERT never
pam_password md5

目前 nsswitch.conf

# /etc/nsswitch.conf:
# $Header: /var/cvsroot/gentoo/src/patchsets/glibc/extra/etc/nsswitch.conf,v 1.1 2006/09/29 23:52:23 vapier Exp $

passwd:      files ldap
shadow:      files ldap
group:       files ldap

# passwd:    db files nis
# shadow:    db files nis
# group:     db files nis

hosts:       files dns
networks:    files dns

services:    files sss
protocols:   files
rpc:         files
ethers:      files
netmasks:    files
netgroup:    files
bootparams:  nisplus [NOTFOUND=return]files
publickey:   nisplus
automount:   files ldap
aliases:     files nisplus

系統認證

auth            sufficient      pam_ldap.so
auth            required        pam_env.so
auth            required        pam_unix.so try_first_pass likeauth nullok
auth            optional        pam_permit.so

account         sufficient      pam_ldap.so
account         required        pam_unix.so
account         optional        pam_permit.so

password        sufficeint      pam_ldap.so
password        required        pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password        required        pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password        optional        pam_permit.so


session         required        pam_limits.so
session         required        pam_env.so
session         required        pam_unix.so
session         optional        pam_ldap.so
session         optional        pam_permit.so

讓我知道是否有任何其他配置文件/資訊會有所幫助。

想通了,我希望這對將來的人有幫助:)

可以登錄 ldap 的工作站使用SSSD對 ldap 伺服器進行身份驗證。在安裝和配置它之後,我所要做的就是像這樣切換 nsswitch.conf 中的行:

passwd:      files ldap
shadow:      files ldap
group:       files ldap

到:

passwd:      files sss
shadow:      files sss
group:       files sss

我希望這會幫助那裡的人:)

引用自:https://serverfault.com/questions/565641