Discussion:
Debian Active Directory Authentifizierung über LDAP
(zu alt für eine Antwort)
Mirko Lemke
2005-01-31 16:40:09 UTC
Permalink
Hallo,

hat jemand eine funktionsfähige LDAP-Abindung an Microsofts Active
Directory mit Debian. Ich habe im Moment das Problem, das ich weder
mit Woody noch mit Sarge einen Login über LDAP vollziehen kann.
Grundlegend wäre mir zunächst wichtig zu wissen, ob es mit den Debian
Hauseigenen-Paketen (libpam-ldap/libnss-ldap) überhaupt möglich ist,
oder ob per Hand nachgebessert werden muss?

Laut den Paketen sollten die notwendigsten Argumente
(enable-rfc2307bis und --enable-schema-mapping) mit kompiliert sein.
Wenn jemand genauere Hinweise geben kann wäre ich dankbar. Im Anhang
habe ich das Problem noch mal genauer beschrieben.
Ich habe schon diverse Fachleute hinzugezogen bisher ohne Erfolg, nun
bin ich am verzweifeln.

Gruss

Mirko


Detailierte Beschreibung:

Auf der Windowsseite habe ich einen Win2003 DC mit den SFU 3.5 stehen.
Auf der Debianseite habe ich die Pakete libpam-ldap u. libnss-ldap
installiert.
In der ldap.conf habe ich einen User mit binddn/bindpw angegeben der
sich an die 2003-Domäne binden darf. Aus Sicherheit habe ich alle
möglichen Konfig-Dateien verlinkt (/etc/libnss-ldap.conf,
/etc/pam_ldap.conf, /etc/ldap/ldap.conf, /etc/ldap.conf).
Die /etc/nsswitch.conf sieht folgendermaßen aus:
passwd files ldap
group files ldap
shadow files ldap.
Die /etc/pam.d/login sieht folgendermaßen aus:
auth required pam_nologin.so
auth sufficient pam_ldap.so
auth sufficient pam_unix.so use_first_pass
account sufficient pam_ldap.so
account required pam_unix.so
session sufficient pam_ldap.so
session required pam_unix.so
password sufficient pam_ldap.so
password sufficient pam_unix.so

Per ldapsearch kann ich alle Attribute auslesen, der Binduser
funktioniert also.
Eine andere auf Suse 9.2 basierende Kiste funktioniert auch super,
also sollte auf der Windowsseite alles korrekt konfiguriert sein.
Ich habe den Login mal mit 'nem Netzwerkmonitor überwacht. Der einzige
Unterschied gegenüber Suse ist, das Debian nicht nach den Attributen
der User auf der 2003 Kiste fragt und dann abbricht. Ein zuvor
gelaufener Bind mit dem Binduser funktioniert aber. Da Debian nicht
nach den Attributen des Users sucht, kann sicher auch keine
Übereinstimmung gefunden (imho).

Könnte dies also vielleicht doch an den Debian-Modulen
(pam_ldap.so,...) liegen?

Über eine Bestätigung der Funktionsfähigkeit wäre ich zunächst
dankbar, weitere Tips die zur Ergreifung des Fehlers führen, wären
hilfreich.
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Christian Schmidt
2005-01-31 19:10:12 UTC
Permalink
Hallo Mirko,
Post by Mirko Lemke
hat jemand eine funktionsfähige LDAP-Abindung an Microsofts Active
Directory mit Debian.
Nein, aber gegen die Authentifizierung eines Sarge-Systems gegen einen
Netware-Server habe ich schon hinbekommen.
Das war sogar relativ schnell aufgesetzt. Lediglich fuer das Mounten
der Home-Verzeichnisse vom Netware-Server habe ich noch keine einfache
Loesung gefunden...

Naja, das Thema habe ich in den letzten Monaten auch nicht weiter
beackern koennen...
Post by Mirko Lemke
Ich habe im Moment das Problem, das ich weder
mit Woody noch mit Sarge einen Login über LDAP vollziehen kann.
Grundlegend wäre mir zunächst wichtig zu wissen, ob es mit den Debian
Hauseigenen-Paketen (libpam-ldap/libnss-ldap) überhaupt möglich ist,
oder ob per Hand nachgebessert werden muss?
Mit den hauseigenen Paketen ist es schon moeglich, allerdings muessen
diverse Konfigurationsdateien angepasst werden.

Vielleicht hilft Dir die Netware-Doku zu diesem Thema ja auch
irgendwie weiter. Siehe <http://www.novell.com>.

Ein paar PDF-Dateien (die u.a. von dort stammen) kannich Dir bei
Bedarf auch per PM zukommen lassen.

Gruss,
Christian Schmidt
--
Macht ist das stärkste Aphrodisiakum.
-- Henry Kissinger
Mirko Lemke
2005-01-31 22:10:11 UTC
Permalink
** 2. Versuch noch mal im Thread zu antworten **
** Sorry der Newsreader funzt noch net so **


Hallo Christian,

danke für deine Antwort u. dem Hinweis auf Novell.
"Leider" muss ich definitiv die Anbindung an den MS Verzeichnisdienst
machen,
da hier die 2500 Nutzer per Domänenmigrierung (NT/NIS) hin migriert
werden.
Post by Christian Schmidt
Nein, aber gegen die Authentifizierung eines Sarge-Systems gegen
einen
Post by Christian Schmidt
Netware-Server habe ich schon hinbekommen.
Das war sogar relativ schnell aufgesetzt. Lediglich fuer das Mounten
der Home-Verzeichnisse vom Netware-Server habe ich noch keine
einfache
Post by Christian Schmidt
Loesung gefunden...
Hmm, da kann ich dir leider auch nicht weiterhelfen. Bei uns habe ich
'nen NFS-Server, von dem sich die Clients per festem Mountpunkt (z.b.
/home1) in der /etc/fstab die Laufwerke ziehen. Allerdings weiss ich
nicht wie man das bei Novell mit dem Eintrag des Homeverzeichnisses
lösen kann.
Post by Christian Schmidt
Mit den hauseigenen Paketen ist es schon moeglich, allerdings muessen
diverse Konfigurationsdateien angepasst werden.
Naja habe eigentlich alle soweit mir bekannten relevanten Scripte
bearbeitet, funktioniert ja auch soweit, bis auf die Passwortabfrage.
Post by Christian Schmidt
Vielleicht hilft Dir die Netware-Doku zu diesem Thema ja auch
irgendwie weiter. Siehe <http://www.novell.com>.
Werd ich mir mal anschauen, vielleichts gibts ein paar Antworten.
Gruss Mirko
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Christian Schmidt
2005-01-31 22:00:19 UTC
Permalink
Hallo netuser,

hier sind Realnamen gerngesehen.
danke für deine Antwort u. dem Hinweis auf Novell.
"Leider" muss ich definitiv die Anbindung an den MS Verzeichnisdienst
machen,
da hier die 2500 Nutzer per Domänenmigrierung (NT/NIS) hin migriert
werden.
Ich habe auch nirgendwo geschrieben, dass Du statt AD Netware nehmen
sollst, sondern nur gemutmasst, dass die Authentifizierung in beiden
Faellen wohl aehnlich verlaufen duerfte, und deshalb die Doku zur
Netware-Anbindung eines Unix-Rechners hilfreich sein koennte.

[Home-Dirs von Netware-Server mounten]
Hmm, da kann ich dir leider auch nicht weiterhelfen.
Danke - aber da werde ich schon irgendeine Loesung fuer finden - wenn
ich Zeit habe, mich darum zu kuemmern (momentan hat das wenig bis gar
keine Prioritaet...).
Bei uns habe ich
'nen NFS-Server, von dem sich die Clients per festem Mountpunkt (z.b.
/home1) in der /etc/fstab die Laufwerke ziehen. Allerdings weiss ich
nicht wie man das bei Novell mit dem Eintrag des Homeverzeichnisses
lösen kann.
Man koennte die NFS-Freigabe in einen entsprechend langen Pfad
mounten...
Post by Christian Schmidt
Mit den hauseigenen Paketen ist es schon moeglich, allerdings muessen
diverse Konfigurationsdateien angepasst werden.
Naja habe eigentlich alle soweit mir bekannten relevanten Scripte
bearbeitet, funktioniert ja auch soweit, bis auf die Passwortabfrage.
"Scripte" musste ich keine bearbeiten - nur ein paar Dateien unterhalb
von /etc.
Post by Christian Schmidt
Vielleicht hilft Dir die Netware-Doku zu diesem Thema ja auch
irgendwie weiter. Siehe <http://www.novell.com>.
Werd ich mir mal anschauen, vielleichts gibts ein paar Antworten.
Wie gesagt: Ein, zwei PDFs haette ich hier noch auf der Platte
liegen...

Gruss,
Christian Schmidt
--
Humor ist was man nicht hat, sobald man es definiert.
Mirko Lemke
2005-01-31 22:10:14 UTC
Permalink
Hallo Christian,

das mit der Mail-Adresse im letzten Posting war ein versehen vom
Newsreader bzw. von dem der ihn bedient also mir. Sorry, nun sollte
wieder der Realname stehen. (i hope so).

Habe dein Angebot auch nur so verstanden, das du mir nur die Dokus
empfehlen wolltest u. nicht den kompletten Novell-Server. ;-)
Ebenfalls sorry, wenns falsch rüber gekommen sein sollte.
Gerne komme ich auf dein Angebot mit den PDF-Dateien zurück, bin auf dem
Novell-Seiten nicht so richtig pfündig geworden.
Bitte schicke sie an die genannte Mailadresse (netuser at web .de)
Besten Dank schon mal im voraus.

Da mein Newsreader nun wieder läuft, würde ich wieder im Thread
antworten wollen, um ihn nicht zu weit zu splitten.

Gruss Mirko
Post by Christian Schmidt
Hallo netuser,
hier sind Realnamen gerngesehen.
danke für deine Antwort u. dem Hinweis auf Novell.
"Leider" muss ich definitiv die Anbindung an den MS Verzeichnisdienst
machen,
da hier die 2500 Nutzer per Domänenmigrierung (NT/NIS) hin migriert
werden.
Ich habe auch nirgendwo geschrieben, dass Du statt AD Netware nehmen
sollst, sondern nur gemutmasst, dass die Authentifizierung in beiden
Faellen wohl aehnlich verlaufen duerfte, und deshalb die Doku zur
Netware-Anbindung eines Unix-Rechners hilfreich sein koennte.
[Home-Dirs von Netware-Server mounten]
Hmm, da kann ich dir leider auch nicht weiterhelfen.
Danke - aber da werde ich schon irgendeine Loesung fuer finden - wenn
ich Zeit habe, mich darum zu kuemmern (momentan hat das wenig bis gar
keine Prioritaet...).
Bei uns habe ich
'nen NFS-Server, von dem sich die Clients per festem Mountpunkt (z.b.
/home1) in der /etc/fstab die Laufwerke ziehen. Allerdings weiss ich
nicht wie man das bei Novell mit dem Eintrag des Homeverzeichnisses
lösen kann.
Man koennte die NFS-Freigabe in einen entsprechend langen Pfad
mounten...
Post by Christian Schmidt
Mit den hauseigenen Paketen ist es schon moeglich, allerdings muessen
diverse Konfigurationsdateien angepasst werden.
Naja habe eigentlich alle soweit mir bekannten relevanten Scripte
bearbeitet, funktioniert ja auch soweit, bis auf die Passwortabfrage.
"Scripte" musste ich keine bearbeiten - nur ein paar Dateien unterhalb
von /etc.
Post by Christian Schmidt
Vielleicht hilft Dir die Netware-Doku zu diesem Thema ja auch
irgendwie weiter. Siehe <http://www.novell.com>.
Werd ich mir mal anschauen, vielleichts gibts ein paar Antworten.
Wie gesagt: Ein, zwei PDFs haette ich hier noch auf der Platte
liegen...
Gruss,
Christian Schmidt
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Mirko Lemke
2005-01-31 22:30:17 UTC
Permalink
Post by Mirko Lemke
Hallo,
Post by Mirko Lemke
hat jemand eine funktionsfähige LDAP-Abindung an Microsofts Active
Directory mit Debian. Ich habe im Moment das Problem, das ich weder
mit Woody noch mit Sarge einen Login über LDAP vollziehen kann.
Grundlegend wäre mir zunächst wichtig zu wissen, ob es mit den
Debian Hauseigenen-Paketen (libpam-ldap/libnss-ldap) überhaupt
möglich ist, oder ob per Hand nachgebessert werden muss?
Ich kenne sicher nicht die Lösung deines Problems, aber falls du daran
interessiert bist, auf Debian einen Domain-User zu authentifizieren,
dann hatte ich mal Erfolg mittels MIT-Kerberos kinit (Heimdal hatte
irgendein Problem). Allerdings war das nur mal ein schneller Versuch
an der Commandline, in pam habe ich das nie einzubinden versucht.
Wenn du Erfolg hast, schreib doch mal was kurzes zusammen ...
cheers,
*** Hmm 2. Versuch zu antworten. ***

Hallo Christian,

Kerberos ist auch 'ne Interessante Sache, wird glaub ich sogar von
Microsoft empfohlen, allerdings wirds dann noch verstrikter. Zunächst
würde mir die angesprochene Anbindung über LDAP "genügen".

Wenn ich eine Lösung haben sollte, die ich aufjedenfall finden muss,
Reporte ich's noch mal.

Gruss Mirko
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Mirko Lemke
2005-01-31 22:40:08 UTC
Permalink
Sorry, ich meinte im letzten Posting natürlich "Hallo Andreas", bin im
Moment 'n bisschen durch 'n Wind.

Ich glaub ich mach für heute erst mal Feierabend u. fang morgen noch mal
frisch u. ausgeruht an.

Bitte nich übel nehmen.

Gruss Mirko
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Ralph Bergmann
2005-02-02 21:00:12 UTC
Permalink
Post by Mirko Lemke
Kerberos ist auch 'ne Interessante Sache, wird glaub ich sogar von
Microsoft empfohlen, allerdings wirds dann noch verstrikter. Zunächst
würde mir die angesprochene Anbindung über LDAP "genügen".
hmmm... also ich hatte mitte letzten jahres von der firma aus einen
it-lehrgang, wo es zwei wochen lang auch um ad ging, hatte micht aber
nicht so recht interessiert, weil ad ist ja kein linux ;)

aber egal...

was noch hängengeblieben ist:
der dozent sagte damals, das ad die kennwörter per/in kerberos
speichert. windows aber, wenn es erlaubt ist, beim ausfall von kerberos
auf die "alte" kennwortspeicherung von "vor ad" zurückgreift. man kann
dies aber wie gesagt erlauben oder nicht, die option gibts wohl, da das
"alte" net so sicher ist wie kerberos.

wenn dich aber nur erstmal ldap vpm ad interessiert, dann nimm doch mal
nen ldap-explorer (z.b. [1]) und verbinde dich damit mit dem ad
server... das hatte ich so schon mal hinbekommen, ist aber wie gesagt im
letzten jahr gewesen


ralph

[1] ... http://www.ldapadministrator.com
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Mirko Lemke
2005-02-03 10:10:08 UTC
Permalink
Hallo Ralph,
Post by Ralph Bergmann
der dozent sagte damals, das ad die kennwörter per/in kerberos
speichert. windows aber, wenn es erlaubt ist, beim ausfall von kerberos
auf die "alte" kennwortspeicherung von "vor ad" zurückgreift. man kann
dies aber wie gesagt erlauben oder nicht, die option gibts wohl, da das
"alte" net so sicher ist wie kerberos.
Naja, so genau bin ich mit Kerberos auch nicht vertraut, aber ich meine
zum eigentlichen authentifizieren der Linux-Büchse genügt das pam_ldap
Modul auf der Linux-Seite. Kerberos ist glaub ich auf jedenfall
erforderlich, wenn ich auch unter Linux die Windows Passwörter ändern
möchte. Dieses Feature wird zur Zeit nicht benötigt. Naja wie gesagt das
ist mein gefährliches Halbwissen.
Post by Ralph Bergmann
wenn dich aber nur erstmal ldap vpm ad interessiert, dann nimm doch mal
nen ldap-explorer (z.b. [1]) und verbinde dich damit mit dem ad
server... das hatte ich so schon mal hinbekommen, ist aber wie gesagt im
letzten jahr gewesen
LDAP-Browsen mach ich im Moment von Linux aus mit dem ldapsearch Util.
Das von dir genannte Tool ist aufjedenfall Interessant. Habs mir gleich
mal gezogen.

Aber hat denn wirklich niemand ein Debian Gerät welches sich gegenüber
Active Directory authentifiziert per LDAP? ;-(

Gruss Mirko
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Ralph Bergmann
2005-02-03 21:10:09 UTC
Permalink
Post by Mirko Lemke
Naja, so genau bin ich mit Kerberos auch nicht vertraut, aber ich meine
zum eigentlichen authentifizieren der Linux-Büchse genügt das pam_ldap
Modul auf der Linux-Seite. Kerberos ist glaub ich auf jedenfall
erforderlich, wenn ich auch unter Linux die Windows Passwörter ändern
möchte. Dieses Feature wird zur Zeit nicht benötigt. Naja wie gesagt das
ist mein gefährliches Halbwissen.
Aber hat denn wirklich niemand ein Debian Gerät welches sich gegenüber
Active Directory authentifiziert per LDAP? ;-(
reden wir vielleicht auch nicht vom selben?!?

wenn sich debian gegen ad authentifizieren soll, dass muss es ja
irgendwie das eingegebene kennwort in der gleichen weise wie ad
verschlüsseln und dann mit dem kennwort, welches im ad gespeichert ist,
vergleichen

nur brauchst du eben kerberos um an das kennwort vom ad ranzukommen

aber mir ist da noch was anderes eingefallen, ich meine mal gelesen zu
haben, dass samba 3.x als backup-ad-server laufen kann, nur nicht selbst
ad allein kann. wenn das wirklich so ist, dann muss ja samba auch
irgendwie die kennwörter kennen

ralph
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Christian Schmidt
2005-02-03 21:50:09 UTC
Permalink
Hallo Mirko,
Post by Mirko Lemke
Aber hat denn wirklich niemand ein Debian Gerät welches sich gegenüber
Active Directory authentifiziert per LDAP? ;-(
Wie gesagt: Mit Netware (und somit eDirectory) kann ich dienen...

Gruss,
Christian Schmidt
--
Alle Stärke liegt innen, nicht außen.
-- Jean Paul (eig. Johann Paul Friedrich Richter)
Mirko Lemke
2005-02-04 14:50:13 UTC
Permalink
Hallo Christian, Hallo Ralph,


@Ralph
Post by Ralph Bergmann
reden wir vielleicht auch nicht vom selben?!?
wenn sich debian gegen ad authentifizieren soll, dass muss es ja
irgendwie das eingegebene kennwort in der gleichen weise wie ad
verschlüsseln und dann mit dem kennwort, welches im ad gespeichert ist,
vergleichen
nur brauchst du eben kerberos um an das kennwort vom ad ranzukommen
Du hast rechte kann sich gegenüber AD per Kerberos authentifizieren,
aber es besteht auch die Möglichkeit sich per LDAP-Modul zu
authentifizieren. Ich Meinerseits möchte die
LDAP-Authentifizierungsmöglichkeit nutzen, da diese in weiteren Diensten
(Mail, Web, PHP, DBMS) genutzt werden soll. Wir haben ja auch bereits
wie beschrieben ein System laufen, welches sich entsprechend
authentifiziert, allerdings basiert dieses auf Suse. Hier nutzen wir
auch erfolgreich die PAM-LDAP und libnss Module.
Beispiel für eine Konfiguration gibts z.b. hier
http://www.oo-services.com/de/articles/sso.html.
Post by Ralph Bergmann
aber mir ist da noch was anderes eingefallen, ich meine mal gelesen zu
haben, dass samba 3.x als backup-ad-server laufen kann, nur nicht selbst
ad allein kann. wenn das wirklich so ist, dann muss ja samba auch
irgendwie die kennwörter kennen
Das mit dem Samba-Server hatte ich mir auch schon überlegt, aber mit
Bezug auf einem abgespecktem Backup-Server der in der DMZ steht.
Vielleicht besser als ein kompletter 2003'er DC, allerdings ist mir noch
nicht klar, ob ein Samba-"BDC" den "richtigen" Windows-Server wirklich
ersetzen kann, da ich damit noch keine Erfahrungen gemacht habe.
Was zu prüfen wäre.

@Christian,

Zunächst vielen dank für die gesendeten Dokumente.
Habe sie mir mal angeschaut und wurde in meine Konfigurationsweise
bestätigt. Habe sie also ähnlich, Debian entsprechend angepasst, auf
meinem System laufen (auch wie auf dem vorhandenen Suse-Gerät). Hatte
letztens in einer Bug-Liste auch ein Problem mit dem libnss-Paket
gesehen, mit Bezug auf AD-Authentifizierung, allerdings sollte das mit
dem aktuellen schon behoben sein.
Ich werde nächste Woche noch mal die neuesten Sources kompilieren und
mal schauen, was bei raus kommt.

Sollte ich eine Lösung finden, werde ich sie natürlich posten.
Ansonsten freue ich mich weiterhin auf rege Anteilnahme, an dem Problem.
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Timo Veith
2005-02-07 22:40:12 UTC
Permalink
Post by Mirko Lemke
Hatte
letztens in einer Bug-Liste auch ein Problem mit dem libnss-Paket
gesehen, mit Bezug auf AD-Authentifizierung,
Dazu diese Links:

http://bugs.debian.org/cgi-bin/pkgreport.cgi?which=pkg&data=libnss-ldap&archive=no

davon insbesondere:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=272793
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=273793
Post by Mirko Lemke
allerdings sollte das mit
dem aktuellen schon behoben sein.
Was meinst Du mit "dem aktuellen" ? In unstable scheint auch 220-1
drinnen zu sein.

Ich hab libnss-ldap mit --enable-paged-results rekompiliert/installiert
und es ergab sich keine Besserung. Unter Gentoo liefert die gleiche
Version auch mit --enable-paged-results kompiliert keine Ergebnisse,
wenn mehr als 1000 Objekte (AD-Server) zurückkommen sollten.

Ohne sicher zu sein würde ich mal behaupten es liegt an der Version. Mit
226 geht es unter Gentoo nämlich.

Gruß

Timo
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Mirko Lemke
2005-02-08 17:40:09 UTC
Permalink
Hallo Timo,

Danke für die Links zur Debian Bug-List, daran hatte ich gar nicht mehr
gedacht.
Post by Timo Veith
Was meinst Du mit "dem aktuellen" ? In unstable scheint auch 220-1
drinnen zu sein.
Mir war leider nicht bekannt bei welcher Version konkret das Problem
lag, wie du nun richtig mitteiltest ist es wohl die aktuelle Version und
somit das Problem immer noch persistent.
Auf unserem AD-Server liegen ausser den Standardobjekten max. 20
zusätzliche. Das sollte dann eigentlich kein Problem sein.
Ich habe mir aber trotzdem noch mal das aktuelle Paket von Padl in der
Version 233 gezogen. Kurze zwischen Frage: Wo hast du eigentlich die
Version 266 her? Habe dann noch mal alles neukompiliert auch mit der von
die genannten Option, zu dem auch noch das pam_ldap Modul neukompiliert.
Leider habe ich immer noch das selbe Problem.
In der /var/log/auth.log erhalte ich folgendes Statement:

PAM_unix[xxx]: check pass; user unknown
192.168.1.50 PAM_unix[218]: authentication failure; (uid=0)
**unknown** for login service 192.168.1.50 login[218]:
FAILED LOGIN (1) on `tty1' FOR `username', Authentication service cannot
retrieve authentication info

Nach der genannten Meldung könnte man meinen das es vielleicht ein
Konfigurationsproblem mit den PAM-Dateien sein könnte, aber er fragt ja
definitv die AD-Domäne (mit Monitor protokolliert) ab. Aber niemand ist
natürlich vor Fehlern gefeilt.
Post by Timo Veith
Ohne sicher zu sein würde ich mal behaupten es liegt an der Version. Mit
226 geht es unter Gentoo nämlich.
Hast du's auch schon mal Debian getestet?
Vielleicht setz ich mir zum testen und vergleichen auch noch mal ne
Gentoo-Maschine auf.

Gruss

Mirko
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Timo Veith
2005-02-10 09:50:11 UTC
Permalink
Post by Mirko Lemke
Kurze zwischen Frage: Wo hast du eigentlich die
Version 266 her?
Hab ich 266 geschrieben? Dann hab ich mich vertan, ich meinte 226. Das ist
die momentan als stable erachtete bei Gentoo.
Post by Mirko Lemke
Habe dann noch mal alles neukompiliert auch mit der
von die genannten Option, zu dem auch noch das pam_ldap Modul
neukompiliert. Leider habe ich immer noch das selbe Problem.
PAM_unix[xxx]: check pass; user unknown
192.168.1.50 PAM_unix[218]: authentication failure; (uid=0)
FAILED LOGIN (1) on `tty1' FOR `username', Authentication service
cannot retrieve authentication info
Nach der genannten Meldung könnte man meinen das es vielleicht ein
Konfigurationsproblem mit den PAM-Dateien sein könnte, aber er fragt ja
definitv die AD-Domäne (mit Monitor protokolliert) ab. Aber niemand ist
natürlich vor Fehlern gefeilt.
Ich würde zuerst testen, ob nss_ldap funktioniert. Z.B. mit getent passwd
und/oder getent group. Wenn dann die User aus dem AD nicht aufgelistet
werden, kann auch pam_ldap nicht funktionieren. Behaupte ich jetzt
einfach mal so. :) (man könnte ja noch Spezialfälle konstruieren, aber
die zählen nicht)
Post by Mirko Lemke
Hast du's auch schon mal Debian getestet?
Ja, ich hab beide Distributionen ausprobiert.

Mittlerweile hab ich auch mal die 220 bei Gentoo ausprobiert und es
funktionierte nicht. Ebenso hab ich (wie auf der bug Seite angeregt) das
sarge Paket mit der Option rekompiliert. Funktioniert auch nicht. Es
bestärkt mich also in der Annahme, daß es an der 220 liegt.

Übrigens, ich bin mit den ganzen nss_ldap/pam_ldap Optionen noch nicht so
ganz durchgestiegen. Ich wüßte zugern, was das absolute Minimum ist, um
das Verhalten eines Linuxsystems komplett abzubilden. Stichwort
Gruppenzugehörigkeit (pam_member_attribute) oder Shadow-Funktionen ...

Außerdem ist mir aufgefallen, daß es mit ssh z.B. drauf ankommt, was in
der sshd_config steht. Ich hab einfach telnet genommen zum testen.


Gruß

Timo
Christian Schmidt
2005-02-10 12:30:20 UTC
Permalink
Hallo Timo,
Post by Timo Veith
Außerdem ist mir aufgefallen, daß es mit ssh z.B. drauf ankommt, was in
der sshd_config steht.
Wirf auch mal einen Blick auf /etc/pam.d/ssh.

Gruss,
Christian Schmidt
--
Letzte Worte von Paul Bocuse:
"Das schmeckt aber komisch."
Mirko Lemke
2005-02-10 16:40:12 UTC
Permalink
Hallo Timo,
Post by Timo Veith
Hab ich 266 geschrieben? Dann hab ich mich vertan, ich meinte 226. Das ist
die momentan als stable erachtete bei Gentoo.
Du hast natürlich nicht 266 geschrieben, ich habe mal wieder nicht
richtig geschaut. Sorry.
Post by Timo Veith
Mittlerweile hab ich auch mal die 220 bei Gentoo ausprobiert und es
funktionierte nicht. Ebenso hab ich (wie auf der bug Seite angeregt) das
sarge Paket mit der Option rekompiliert. Funktioniert auch nicht. Es
bestärkt mich also in der Annahme, daß es an der 220 liegt.
Konntest du die neuen Pakete die bei dir unter Gentoo liefen,
erfolgreich unter Debian zum laufen bekommen?
Post by Timo Veith
Übrigens, ich bin mit den ganzen nss_ldap/pam_ldap Optionen noch nicht so
ganz durchgestiegen. Ich wüßte zugern, was das absolute Minimum ist, um
das Verhalten eines Linuxsystems komplett abzubilden. Stichwort
Gruppenzugehörigkeit (pam_member_attribute) oder Shadow-Funktionen ...
Damit hab ich mich auch noch nicht befasst, mir würde im Moment die
erfolgreiche Active Directory-Anbindung genügen.
Post by Timo Veith
Außerdem ist mir aufgefallen, daß es mit ssh z.B. drauf ankommt, was in
der sshd_config steht. Ich hab einfach telnet genommen zum testen.
Wie meinst du das? Würde eine Erweiterung des SSH-PAM-Moduls
(/etc/pam.d/ssh) um die pam_ldap.so Einträge etwa nicht genügen, damit
ein LDAP-Login über SSH funktioniert?

Gruss Mirko
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Timo Veith
2005-02-10 17:50:17 UTC
Permalink
Post by Mirko Lemke
Konntest du die neuen Pakete die bei dir unter Gentoo liefen,
erfolgreich unter Debian zum laufen bekommen?
Das hab ich nicht probiert. Ich hab nur das gleiche Paket, welches bei
sarge dabei ist, rekompiliert. Extra Version 226 von Source zu
installieren oder ein eigenes Paket dafür zu basteln oder irgendwie ein
Backport (falls es eins gibt zu installieren) is mir auf Dauer zuviel
Act. Ich finde das sollte out-of-the-box funktionieren.
Post by Mirko Lemke
Post by Timo Veith
Außerdem ist mir aufgefallen, daß es mit ssh z.B. drauf ankommt, was
in der sshd_config steht. Ich hab einfach telnet genommen zum testen.
Wie meinst du das? Würde eine Erweiterung des SSH-PAM-Moduls
(/etc/pam.d/ssh) um die pam_ldap.so Einträge etwa nicht genügen, damit
ein LDAP-Login über SSH funktioniert?
Nein es reicht nicht das PAM File von ssh anzupassen (ich hab gleich die
die common-* Files genommen). Um mit ssh erfolgreich authentifizieren zu
können, mußte ich erst PasswordAuthentication auf yes stellen und sshd
restarten. Danach ging es mit einem AD-User.

Mir ist das allerdings noch schleierhaft, denn weiter unten in sshd_config
steht UsePAM auf yes und schliesslich fragte mich ssh auch schon vorher
nach einem Passwort. Ich weiss dass es hier eine Änderung Ende letzten
Jahres gab, aber ich hab noch nicht genau verstanden, was es damit genau
auf sich hat.

Gruß,

Timo
Mirko Lemke
2005-02-11 20:50:12 UTC
Permalink
Hallo Leute,

habe soeben das Problem gelöst.
Nach dem ich die bereits die aktuellen Sources ohne Erfolg kompilierte.
Habe ich nun noch mal ein neues sauberes System (Woody) aufgesetzt. Nach
dem einspielen von libpam0g-dev, libldap2-dev und dem kompilieren der
aktuellen PADL-Pakete nss-ldap u. pam-ldap, konnte ich endlich eine
Verbindung zu AD herstellen! (nss-ldap Paket mit --enable-schema-mapping
u. --enable-rfc2307bis konfigurieren)
Es scheint so, als wenn es definitv an den aktuellen Debian-Paketen liegt.
Um Probleme zu vermeiden, diese wohl am besten gleich außen vorlassen u.
die aktuellen Pakete selbst reinkompilieren.

Dank an alle die sich beteiligten für die Unterstützung.

Wenn jemand genauere Informationen braucht, kann ich diese auch noch mal
zu kommen lassen, ansonsten hab ich mein System wie im Erstposting vom
31.01. konfiguriert.

Gruss Mirko
Post by Mirko Lemke
Hallo,
Post by Mirko Lemke
hat jemand eine funktionsfähige LDAP-Abindung an Microsofts Active
Directory mit Debian. Ich habe im Moment das Problem, das ich weder
mit Woody noch mit Sarge einen Login über LDAP vollziehen kann.
Grundlegend wäre mir zunächst wichtig zu wissen, ob es mit den
Debian Hauseigenen-Paketen (libpam-ldap/libnss-ldap) überhaupt
möglich ist, oder ob per Hand nachgebessert werden muss?
Ich kenne sicher nicht die Lösung deines Problems, aber falls du daran
interessiert bist, auf Debian einen Domain-User zu authentifizieren,
dann hatte ich mal Erfolg mittels MIT-Kerberos kinit (Heimdal hatte
irgendein Problem). Allerdings war das nur mal ein schneller Versuch
an der Commandline, in pam habe ich das nie einzubinden versucht.
Wenn du Erfolg hast, schreib doch mal was kurzes zusammen ...
cheers,
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-***@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an ***@lists.debian.org (engl)
Loading...