[gull] [Q] pam & ldap & kerberos

sneaky56 at gmx.net sneaky56 at gmx.net
Mon Feb 14 17:03:04 CET 2005 

Bonjour,

À la maison, j'essaie de mettre en place un serveur kerberos 5 (MIT)
pour l'authentification, avec un serveur OpenLDAP et PAM sur les
clients.

Actullement ça commence à fonctionner, mais il reste (au moins) un
problème.

serveur: magelan
client:  helium

utilisateur tom, existe dans kerberos avec son mot de passe
OpenLDAP donne les autres informations pour tom:
	# tom, people, sneaky56.no-ip.org
	dn: uid=tom,ou=people,dc=subdomain,dc=example,dc=com
	objectClass: inetOrgPerson
	objectClass: posixAccount
	cn: Firstname Lastname
	givenName: Firstname
	sn: Lastname
	mail: firstname.lastname at example.com
	telephoneNumber: +41(0)21 987 6543
	title: Test User
	uid: tom
	uidNumber: 5001
	gidNumber: 5001
	homeDirectory: /home/tom
	loginShell: /bin/bash

Ce qui fonctionne:
1. sur le client, login avec un user local, puis "kinit -p tom" suivi
   de "ssh -K tom at magelan", et je me retrouve sur magelan, sans avoir
   à introduire une deuxième fois le mot-de-passe de tom.

2. je peux aussi me logger en local sur helium avec l'utilisateur tom
   (qui n'est pas du tout du tout défini dans /etc/passwd) et
   j'obtiens alors directement un ticket kerberos et "ssh magelan"
   fonctionne également.

Ce qui pose problème:
3. lorsque je me logge sur helium avec un utilisateur local et que je
   fais "getent passwd", j'ai toute une liste qui s'affiche, mais elle
   ne contient pas l'utilisateur tom, alors que si j'exécute la même
   commande en tant que root, l'utilisateur tom y est. L'utilisateur
   root est également local, et les deux utilisateurs n'ont pas de
   ticket kerberos.

Bien sur j'ai un message d'erreur pour l'utilisateur local (sur
helium, dans /var/log/user.log), mais pas pour root (!), qui dit ceci:
Feb 14 16:34:07 helium getent: nss_ldap: could not connect to any LDAP server as (null) - Can't contact LDAP server

Dans mon fichier /etc/libnss-ldap.conf je n'ai cependant configurer ni
binddn/bindpw, ni rootbinddn (tous en commentaire).

Ce que je ne comprend pas, est que le traitement n'est pas le même
selon que l'utilisateur est root ou non.

Qui peut m'aider? merci...


	tom

-- 
as seen in a signature:
       "In an open world without walls and fences,
        who needs Gates and windows?"

More information about the gull mailing list