[gull] [Q] pam & ldap & kerberos
sneaky56 at gmx.net
sneaky56 at gmx.net
Mon Feb 14 17:03:04 CET 2005
Bonjour,
À la maison, j'essaie de mettre en place un serveur kerberos 5 (MIT)
pour l'authentification, avec un serveur OpenLDAP et PAM sur les
clients.
Actullement ça commence à fonctionner, mais il reste (au moins) un
problème.
serveur: magelan
client: helium
utilisateur tom, existe dans kerberos avec son mot de passe
OpenLDAP donne les autres informations pour tom:
# tom, people, sneaky56.no-ip.org
dn: uid=tom,ou=people,dc=subdomain,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
cn: Firstname Lastname
givenName: Firstname
sn: Lastname
mail: firstname.lastname at example.com
telephoneNumber: +41(0)21 987 6543
title: Test User
uid: tom
uidNumber: 5001
gidNumber: 5001
homeDirectory: /home/tom
loginShell: /bin/bash
Ce qui fonctionne:
1. sur le client, login avec un user local, puis "kinit -p tom" suivi
de "ssh -K tom at magelan", et je me retrouve sur magelan, sans avoir
à introduire une deuxième fois le mot-de-passe de tom.
2. je peux aussi me logger en local sur helium avec l'utilisateur tom
(qui n'est pas du tout du tout défini dans /etc/passwd) et
j'obtiens alors directement un ticket kerberos et "ssh magelan"
fonctionne également.
Ce qui pose problème:
3. lorsque je me logge sur helium avec un utilisateur local et que je
fais "getent passwd", j'ai toute une liste qui s'affiche, mais elle
ne contient pas l'utilisateur tom, alors que si j'exécute la même
commande en tant que root, l'utilisateur tom y est. L'utilisateur
root est également local, et les deux utilisateurs n'ont pas de
ticket kerberos.
Bien sur j'ai un message d'erreur pour l'utilisateur local (sur
helium, dans /var/log/user.log), mais pas pour root (!), qui dit ceci:
Feb 14 16:34:07 helium getent: nss_ldap: could not connect to any LDAP server as (null) - Can't contact LDAP server
Dans mon fichier /etc/libnss-ldap.conf je n'ai cependant configurer ni
binddn/bindpw, ni rootbinddn (tous en commentaire).
Ce que je ne comprend pas, est que le traitement n'est pas le même
selon que l'utilisateur est root ou non.
Qui peut m'aider? merci...
tom
--
as seen in a signature:
"In an open world without walls and fences,
who needs Gates and windows?"
More information about the gull
mailing list