Re: ldap und root
ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. könnte evt. auch mit der Namensauflösung zusammen hängen. Arbeitest Du mit Nameserver oder über /e/hosts? Mit DNS-Server. und Du hast den LDAP Server mit Hostname oder FQDN eingetragen? Dann ist es wohl eher ein DNS-Timeout, auf welches Dein Client wartet. Der LDAP wird mit vollem Namen angesprochen. Aber vielleicht noch eine Frage zum Verstaendnis: Ich war immer der Meinung, wenn ein lokaler Account gefunden wurde, wird der LDAP nicht mehr bemueht. Dem ist wohl nicht so, oder? Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert wrote: ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. könnte evt. auch mit der Namensauflösung zusammen hängen. Arbeitest Du mit Nameserver oder über /e/hosts? Mit DNS-Server. und Du hast den LDAP Server mit Hostname oder FQDN eingetragen? Dann ist es wohl eher ein DNS-Timeout, auf welches Dein Client wartet. Der LDAP wird mit vollem Namen angesprochen. Und diesen hast Du in der /e/hosts zu stehen? Wenn nicht, wartet Dein System auf den Timeout der DNS Abfrage. Wenn doch, schau Dir mal die Werte für 'time limit' und 'bind_time limit' in der ldap.conf an. Aber vielleicht noch eine Frage zum Verstaendnis: Ich war immer der Meinung, wenn ein lokaler Account gefunden wurde, wird der LDAP nicht mehr bemueht. Dem ist wohl nicht so, oder? Hängt von den Einträgen in der nsswitch.conf, etc. ab. Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert wrote: ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. könnte evt. auch mit der Namensauflösung zusammen hängen. Arbeitest Du mit Nameserver oder über /e/hosts? Mit DNS-Server. und Du hast den LDAP Server mit Hostname oder FQDN eingetragen? Dann ist es wohl eher ein DNS-Timeout, auf welches Dein Client wartet. hth Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Hallo Marc, ich habe dies und ein paar andere Moeglichkeiten einmal ausprobiert und prinzipiell funktioniert es auch. Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Kann man dies irgendwie verhindern? Da bin ich leider etwas überfragt. Zur Verzögerung der Passwortabfrage fällt mir überhaupt nix ein. Bei Befehlen wie top und w, die ja user Information aus LDAP abfragen, kann ich mir Vorstellen, dass die teilweise nach usern suchen, die in LDAP stecken. Du hast nur normale Benutzer-Accounts in LDAP, nicht irgendwelche System-Accounts, oder? ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. Dennoch vielen Dank. Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Hallo Martin, Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Tja, ohne nscd hängt dann nsswitch in der LDAP-Abfrage für die ID. Für solche Szenarien, LDAP, NIS u.ä., ist nscd entworfen worden, um den Server von ständigen Abfragen zu entlasten. Ich weiss. Allerdings verhindert der nscd das sich Änderungen auf dem Server sofort auf die Clients auswirken. Aus genau diesem Grund habe ich ihn nicht im Einsatz. Aber vielen Dank fuer den Tip. Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert wrote: ich habe dies und ein paar andere Moeglichkeiten einmal ausprobiert und prinzipiell funktioniert es auch. Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Kann man dies irgendwie verhindern? Eigentlich nur mit dem nscd und da funktioniert das auch nur bedingt. ls muss halt die UIDs auflösen, um den Namen des Users anzuzeigen. Das kannst du nur durch die entsprechenden Parameter beseitigen. z.B. ls -n Dann siehst du natürlich keine Usernamen. Allerdings solltest du dich fragen, warum du so viel Arbeit da rein steckst, die Arbeit mit defektem LDAP Server machen zu können. Lieber die Zeit in einen redundanten LDAP Server stecken und dann auch ohne Probleme einen vom netz nehmen können. Wir setzen das seit einiger Zeit ein und es funktioniert tadellos. -- Ihre Systemadministration - Patrick Cornelissen Be 4, Zi 3 -- Tel: 7773 [EMAIL PROTECTED] www.math.uni-bonn.de/support -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Hallo Patrick, Allerdings solltest du dich fragen, warum du so viel Arbeit da rein steckst, die Arbeit mit defektem LDAP Server machen zu können. Lieber die Zeit in einen redundanten LDAP Server stecken und dann auch ohne Probleme einen vom netz nehmen können. Wir setzen das seit einiger Zeit ein und es funktioniert tadellos. dies laeuft bei mir auch schon seit fast einem Jahr (bis jetzt ohne Probleme). Ich denke aber an Situationen, bei denen der Client derart defekt ist, dass er z.B. kein Netzwerk hat. Weiterhin moechte ich auch Laptops in die LDAP-Umgebung einbinden, die - solange im Haus sind - ueber LDAP betrieben werden sollen und unterwegs einen lokalen Account nutzen. Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert wrote: dies laeuft bei mir auch schon seit fast einem Jahr (bis jetzt ohne Probleme). Ich denke aber an Situationen, bei denen der Client derart defekt ist, dass er z.B. kein Netzwerk hat. Weiterhin moechte ich auch Laptops in die LDAP-Umgebung einbinden, die - solange im Haus sind - ueber LDAP betrieben werden sollen und unterwegs einen lokalen Account nutzen. Wenn man immer files ldap nimmt sollte(tm) das eigentlich ohne ldap funktionieren. Allerdings überschreibt das lokale Setting dann immer das ldap. Anders wirst du das aber nicht hinkriegen. Ausser du generierst die lokalen Dateien sehr häufig. Nimmst du ldap zuerst wirst du immer auf den Timeout warten müssen. Ist halt die Frage was schlimmer ist. -- Ihre Systemadministration - Patrick Cornelissen Be 4, Zi 3 -- Tel: 7773 [EMAIL PROTECTED] www.math.uni-bonn.de/support -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
dies laeuft bei mir auch schon seit fast einem Jahr (bis jetzt ohne Probleme). Ich denke aber an Situationen, bei denen der Client derart defekt ist, dass er z.B. kein Netzwerk hat. Weiterhin moechte ich auch Laptops in die LDAP-Umgebung einbinden, die - solange im Haus sind - ueber LDAP betrieben werden sollen und unterwegs einen lokalen Account nutzen. Wenn man immer files ldap nimmt sollte(tm) das eigentlich ohne ldap funktionieren. So habe ich es. Es geht ja auch ohne LDAP; man darf eben nur nicht das Netzwerkkabel am Client ziehen. Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert schrieb: dies laeuft bei mir auch schon seit fast einem Jahr (bis jetzt ohne Probleme). Ich denke aber an Situationen, bei denen der Client derart defekt ist, dass er z.B. kein Netzwerk hat. Weiterhin moechte ich auch Laptops in die LDAP-Umgebung einbinden, die - solange im Haus sind - ueber LDAP betrieben werden sollen und unterwegs einen lokalen Account nutzen. ... So habe ich es. Es geht ja auch ohne LDAP; man darf eben nur nicht das Netzwerkkabel am Client ziehen. Also müssen die leute mit Laptops mit Kabel herumlaufen? ;-) -- Ihre Systemadministration - Patrick Cornelissen Be 4, Zi 3 -- Tel: 7773 [EMAIL PROTECTED] www.math.uni-bonn.de/support signature.asc Description: OpenPGP digital signature
Re: ldap und root
Klemens Kittan schrieb: Hi, ich habe schon seit zwei Jahren die Userverwaltung auf LDAP umgestellt. Es funktioniert auch sehr gut, bis eines Tages die LDAP-Server nicht mehr erreichbar waren. Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Hat jemand einähnliches Problem? Ich habe jetzt zwei Tage mit der nsswitch.conf experimentiert und keinen Erfolg gehabt. Das System ist sarge mit dem Kernel 2.6.8-2-386. Hier meine nsswitch .conf: passwd: compat passwd_compat: ldap shadow: files group: files ldap hosts: files dns networks:files protocols:files services: files ethers: files rpc: files automount: files ldap netgroup: ldap Klemens Hallo. Du solltest dir mal die Datei /etc/init.d/libnss-ldap ansehen. Dort wird durch löschen oder erzeugen der Datei /var/lib/libnss-ldap/bind_policy_soft entschieden wie auf den Ausfall des Ldap-Server reagiert wird. Um dein Problem zu lösen must du das Löschen der Datei /var/lib/libnss-ldap/bind_policy_soft verhindern. CU Marcel
Re: ldap und root
Hallo Gordon, Gordon Grubert wrote: Hallo Marc, ich habe dies und ein paar andere Moeglichkeiten einmal ausprobiert und prinzipiell funktioniert es auch. Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Kann man dies irgendwie verhindern? Da bin ich leider etwas überfragt. Zur Verzögerung der Passwortabfrage fällt mir überhaupt nix ein. Bei Befehlen wie top und w, die ja user Information aus LDAP abfragen, kann ich mir Vorstellen, dass die teilweise nach usern suchen, die in LDAP stecken. Du hast nur normale Benutzer-Accounts in LDAP, nicht irgendwelche System-Accounts, oder? ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. könnte evt. auch mit der Namensauflösung zusammen hängen. Arbeitest Du mit Nameserver oder über /e/hosts? Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. könnte evt. auch mit der Namensauflösung zusammen hängen. Arbeitest Du mit Nameserver oder über /e/hosts? Mit DNS-Server. Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert schrieb: ich habe dies und ein paar andere Moeglichkeiten einmal ausprobiert und prinzipiell funktioniert es auch. Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Kann man dies irgendwie verhindern? Da bin ich leider etwas überfragt. Zur Verzögerung der Passwortabfrage fällt mir überhaupt nix ein. Bei Befehlen wie top und w, die ja user Information aus LDAP abfragen, kann ich mir Vorstellen, dass die teilweise nach usern suchen, die in LDAP stecken. Du hast nur normale Benutzer-Accounts in LDAP, nicht irgendwelche System-Accounts, oder? Ansonsten kann ich leider nur meine Aussage wiederholen: bei mir läuft mit meinen Einstellungen alles glatt, ob mit oder ohne LDAP. Der läuft zwar lokal, ich habe ihn aber zum Testen ausgeschaltet. Alles läuft ohne irgendwelche Verzögerungen (top, w, getent passwd). Grüße Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
On Fri, Aug 04, 2006 at 06:08:28PM +0200, Gordon Grubert wrote: Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Tja, ohne nscd hängt dann nsswitch in der LDAP-Abfrage für die ID. Für solche Szenarien, LDAP, NIS u.ä., ist nscd entworfen worden, um den Server von ständigen Abfragen zu entlasten. Allerdings verhindert der nscd das sich Änderungen auf dem Server sofort auf die Clients auswirken. -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht! pgptBqgRVEu23.pgp Description: PGP signature
Re: ldap und root
auth [success=1 default=ignore] pam_unix.so auth required pam_ldap.so use_first_pass auth required pam_permit.so The third line is needed, so success=1 can skip over one module and still has a module to jump to. Without that, PAM segfaults! - If you want to use the pam_check_host_attr feature, make sure pam_unix.so doesn't provide a valid account via the Name Service Switch (NSS), which overrides your LDAP configuration. Don't use ldap for shadow in /etc/nsswitch.conf, just use shadow: files. For PAM, use something like the following: # Try local /etc/shadow first and skip LDAP on success account [success=1 default=ignore] pam_unix.so account required pam_ldap.so account required pam_permit.so Das habe ich ausprobiert. Nur funktioniert ein login damit nicht. Weder lokale noch LDAP-User können sich einloggen. Klemens -- Klemens Kittan Systemadministrator Uni-Potsdam, Inst. f. Informatik August-Bebel-Str. 89 14482 Potsdam Tel.: +49-331-977/3125 Fax.: +49-331-977/3122 eMail : [EMAIL PROTECTED] gpg --recv-keys --keyserver wwwkeys.de.pgp.net 6EA09333 pgpyJXl5dp1AQ.pgp Description: PGP signature
Re: ldap und root
Klemens Kittan schrieb: auth [success=1 default=ignore] pam_unix.so auth required pam_ldap.so use_first_pass auth required pam_permit.so The third line is needed, so success=1 can skip over one module and still has a module to jump to. Without that, PAM segfaults! - If you want to use the pam_check_host_attr feature, make sure pam_unix.so doesn't provide a valid account via the Name Service Switch (NSS), which overrides your LDAP configuration. Don't use ldap for shadow in /etc/nsswitch.conf, just use shadow: files. For PAM, use something like the following: # Try local /etc/shadow first and skip LDAP on success account [success=1 default=ignore] pam_unix.so account required pam_ldap.so account required pam_permit.so Das habe ich ausprobiert. Nur funktioniert ein login damit nicht. Weder lokale noch LDAP-User können sich einloggen. Hmm. Ich habe exakt die genannten Einstellungen bei uns in commen-auth bzw. commen-account. Das funktioniert tadellos -- mit und ohne LDAP. Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
auth [success=1 default=ignore] pam_unix.so auth required pam_ldap.so use_first_pass auth required pam_permit.so The third line is needed, so success=1 can skip over one module and still has a module to jump to. Without that, PAM segfaults! - If you want to use the pam_check_host_attr feature, make sure pam_unix.so doesn't provide a valid account via the Name Service Switch (NSS), which overrides your LDAP configuration. Don't use ldap for shadow in /etc/nsswitch.conf, just use shadow: files. For PAM, use something like the following: # Try local /etc/shadow first and skip LDAP on success account [success=1 default=ignore] pam_unix.so account required pam_ldap.so account required pam_permit.so Hmm. Ich habe exakt die genannten Einstellungen bei uns in commen-auth bzw. commen-account. Das funktioniert tadellos -- mit und ohne LDAP. Ich habe soeben genau diese Einstellungen in die common-auth bzw. common-account eingetragen. Jetzt ist es mir nicht möglich mich einzuloggen. Weder als LDAP-User noch als lokaler root. Kannst du bei dir nocheinmal schauen ob du wirklich diese Einstellungen nimmst? Und wie sieht deine nsswitch.conf aus? Klemens -- Klemens Kittan Systemadministrator Uni-Potsdam, Inst. f. Informatik August-Bebel-Str. 89 14482 Potsdam Tel.: +49-331-977/3125 Fax.: +49-331-977/3122 eMail : [EMAIL PROTECTED] gpg --recv-keys --keyserver wwwkeys.de.pgp.net 6EA09333 pgpKKb4tHUh4x.pgp Description: PGP signature
Re: ldap und root
Klemens Kittan schrieb: Ich habe soeben genau diese Einstellungen in die common-auth bzw. common-account eingetragen. Jetzt ist es mir nicht möglich mich einzuloggen. Weder als LDAP-User noch als lokaler root. Kannst du bei dir nocheinmal schauen ob du wirklich diese Einstellungen nimmst? Ich sehe gerade, dass ich noch ne Option habe in common-auth: nullok_secure. Das wird allerdings nur für logins ohne Passwort genutzt, wenn ich es richtig verstehe. Meine pam Einstellungen: common-auth: auth [success=1 default=ignore] pam_unix.so nullok_secure authrequiredpam_ldap.so use_first_pass authrequiredpam_permit.so common-account: account [success=1 default=ignore] pam_unix.so account requiredpam_ldap.so account requiredpam_permit.so common-password: password sufficient pam_ldap.so use_first_pass use_authtok password requiredpam_unix.so nullok obscure min=4 max=8 md5 common-session: session optionalpam_ldap.so session requiredpam_unix.so Und wie sieht deine nsswitch.conf aus? nsswitch.conf: passwd: files ldap group: files ldap shadow: files ldap hosts: files dns wins Zu guter letzt der Vollständigkeit halber noch pam_ldap.conf: host 127.0.0.1 base meine dn ldap_version 3 rootbinddn mein ldap admin pam_password crypt nss_base_passwd ou=Users,meine dn?one nss_base_shadow ou=Users,meine dn?one nss_base_passwd ou=Computers,meine dn?one nss_base_shadow ou=Computers,meine dn?one nss_base_group ou=Groups,meine dn?one und libnss-ldap.conf: host 127.0.0.1 base meine dn ldap_version 3 rootbinddn mein ldap admin pam_password crypt nss_base_passwd ou=Users,meine dn?one nss_base_shadow ou=Users,meine dn?one nss_base_passwd ou=Computers,meine dn?one nss_base_shadow ou=Computers,meine dn?one nss_base_group ou=Groups,meine dn?one ssl no Ich hoffe, dass dir das weiterhilft. Grüße Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Hallo Marc, Ich habe soeben genau diese Einstellungen in die common-auth bzw. common-account eingetragen. Jetzt ist es mir nicht möglich mich einzuloggen. Weder als LDAP-User noch als lokaler root. Kannst du bei dir nocheinmal schauen ob du wirklich diese Einstellungen nimmst? Meine pam Einstellungen: common-auth: ... common-account: ... common-password: ... common-session: ... nsswitch.conf: ... ich habe dies und ein paar andere Moeglichkeiten einmal ausprobiert und prinzipiell funktioniert es auch. Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Kann man dies irgendwie verhindern? Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
ldap und root
Hi, ich habe schon seit zwei Jahren die Userverwaltung auf LDAP umgestellt. Es funktioniert auch sehr gut, bis eines Tages die LDAP-Server nicht mehr erreichbar waren. Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Hat jemand einähnliches Problem? Ich habe jetzt zwei Tage mit der nsswitch.conf experimentiert und keinen Erfolg gehabt. Das System ist sarge mit dem Kernel 2.6.8-2-386. Hier meine nsswitch .conf: passwd: compat passwd_compat: ldap shadow: files group: files ldap hosts: files dns networks:files protocols:files services: files ethers: files rpc: files automount: files ldap netgroup: ldap Klemens pgpRser3X2Ta3.pgp Description: PGP signature
Re: ldap und root
Hallo Klemens, * Klemens Kittan schrieb [03-08-06 13:55]: Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Hast du die Dateien in /etc/pam.d geprüft. IIRC hatte ich da auch mal Probleme, weil ich die Sortierung von pam_ldap und pam_unix verkehrt hatte. Siehe meine common-* auf http://www.cs-ol.de/upload/pam-common.tar.gz Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Hat jemand einähnliches Problem? Ich habe jetzt zwei Tage mit der nsswitch.conf experimentiert und keinen Erfolg gehabt. Weil es daran wahrscheinlich nicht liegt. Hier meine nsswitch .conf: passwd: compat Bei mir: passwd:compat ldap passwd_compat: ldap Fehlt bei mir. shadow: files Bei mir: shadow:files ldap HTH Mit freundlichen Grüßen Udo Müller -- ComputerService Udo Müller Tel.: 0441-36167578 Schöllkrautweg 16 Fax.: 0441-36167579 26135 Oldenburg [EMAIL PROTECTED] Mobil: 0162-4365411 signature.asc Description: Digital signature
Re: ldap und root
Am Donnerstag, 3. August 2006 13:55 schrieb Klemens Kittan: Hi, ich habe schon seit zwei Jahren die Userverwaltung auf LDAP umgestellt. Es funktioniert auch sehr gut, bis eines Tages die LDAP-Server nicht mehr erreichbar waren. Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Hat jemand einähnliches Problem? Ich habe jetzt zwei Tage mit der nsswitch.conf experimentiert und keinen Erfolg gehabt. Das System ist sarge mit dem Kernel 2.6.8-2-386. Hier meine nsswitch .conf: die sieht ok aus. Wichtig ist, das deine pam-config (login/ssh oder in common-*) noch pam_unix.so mit drin hat und pam_ldap.so nicht required ist sondern höchstens sufficient. -- Markus Schulz Kreuzigt mich - aber Debian ist einfach deppensicher. Es lässt Deppen gegen eine Wand von Schwierigkeiten klatschen und langsam abtropfen. Wer die Tür findet, darf mitspielen - und so sieht das Spielzeug dann eben aus: Gut gepflegt. -- Joerg Rossdeutscher
Re: ldap und root
Hallo Klemens, welche settings hast Du denn in /etc/pam.d/[account|auth|passwd|ssh]? Stimmt die Reihenfolge, sind die controls erfüllt (sufficient, required)? UIDs bis zu einem bestimmten Wert sollten allerdings sowieso vom LDAP getrennt sein, 'minuid' in /etc/ldap.conf, wenn ich mich recht erinnere. Martin Klemens Kittan wrote: Hi, ich habe schon seit zwei Jahren die Userverwaltung auf LDAP umgestellt. Es funktioniert auch sehr gut, bis eines Tages die LDAP-Server nicht mehr erreichbar waren. Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Hat jemand einähnliches Problem? Ich habe jetzt zwei Tage mit der nsswitch.conf experimentiert und keinen Erfolg gehabt. Das System ist sarge mit dem Kernel 2.6.8-2-386. Hier meine nsswitch .conf: passwd: compat passwd_compat: ldap shadow: files group: files ldap hosts: files dns networks:files protocols:files services: files ethers: files rpc: files automount: files ldap netgroup: ldap Klemens -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
welche settings hast Du denn in /etc/pam.d/[account|auth|passwd|ssh]? hier meine PAM-Module: common-account account sufficient pam_unix.so account sufficient pam_ldap.so account requiredpam_deny.so common-auth authrequiredpam_env.so authsufficient pam_unix.so likeauth nullok authsufficient pam_ldap.so use_first_pass authrequiredpam_deny.so common-session session requiredpam_limits.so session requiredpam_unix.so session optionalpam_ldap.so common-password passwordsufficient pam_unix.so nullok obscure min=4 max=8 md5 passwordsufficient pam_ldap.so use_authtok passwordrequiredpam_deny.so Mit diesen Einstellungen funktioniert die Userverwaltung bestens, nur nicht wen der LDAP-Server mal nicht erreichbar ist. Klemens pgpDFkBh0cxq9.pgp Description: PGP signature
Re: ldap und root
Wichtig ist, das deine pam-config (login/ssh oder in common-*) noch pam_unix.so mit drin hat und pam_ldap.so nicht required ist sondern höchstens sufficient. Die PAM-Module habe ich gerade gepostet, kannst ja mal drüber sehen. KLemens pgpD9xF9JRkl0.pgp Description: PGP signature
Re: ldap und root
Hast du die Dateien in /etc/pam.d geprüft. IIRC hatte ich da auch mal Probleme, weil ich die Sortierung von pam_ldap und pam_unix verkehrt hatte. Siehe meine common-* auf http://www.cs-ol.de/upload/pam-common.tar.gz Die habe ich überprüft, wenn ich die Reihenfolge vertausche, dann habe ich auch Probleme wenn der LDAP-Server erreichbar ist. Bei mir: passwd:compat ldap Ich benutze Netzgruppen, um die User einzuschränken (wer darf sich wo einloggen). Deshalb verwende ich passwd_compat: ldap. Das funktioniert auch sehr gut. Ist ein User nicht in der entsprechenden Netzgruppe kann er sich auf dem Rechner nicht einloggen. Klemens pgpSjEiKfWIrw.pgp Description: PGP signature
Re: ldap und root
Noch mal zum Verständnis: dass Du Dich nicht einloggen kannst bedeutet was: - Der Login-Versuch endet nach Eingabe von UID/pass, falls erforderlich, recht spontan mit 'Permission denied' - Die Login-Session nimmt gar kein UID/passwd entgegen und terminiert nach einger Zeit (60s) - Die Login-Session nimmt UID/passwd entgegen und terminiert nach einger Zeit (60s) Martin Klemens Kittan wrote: welche settings hast Du denn in /etc/pam.d/[account|auth|passwd|ssh]? hier meine PAM-Module: common-account account sufficient pam_unix.so account sufficient pam_ldap.so account requiredpam_deny.so common-auth authrequiredpam_env.so authsufficient pam_unix.so likeauth nullok authsufficient pam_ldap.so use_first_pass authrequiredpam_deny.so common-session session requiredpam_limits.so session requiredpam_unix.so session optionalpam_ldap.so common-password passwordsufficient pam_unix.so nullok obscure min=4 max=8 md5 passwordsufficient pam_ldap.so use_authtok passwordrequiredpam_deny.so Mit diesen Einstellungen funktioniert die Userverwaltung bestens, nur nicht wen der LDAP-Server mal nicht erreichbar ist. Klemens -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Klemens Kittan schrieb: ich habe schon seit zwei Jahren die Userverwaltung auf LDAP umgestellt. Es funktioniert auch sehr gut, bis eines Tages die LDAP-Server nicht mehr erreichbar waren. Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Schau dir mal /usr/share/doc/libpam-ldap/README.Debian an, da steht: --- libpam-ldap for Debian -- - Be very careful when you use sufficient pam_ldap.so in Debian's /etc/pam.d/common-* files: Some services can place other required PAM-modules after the includes, which will be ignored if pam_ldap.so succeeds. As a workaround, use something like the following construct: # Check local authentication first, so root can still login # while LDAP is down. auth [success=1 default=ignore] pam_unix.so auth required pam_ldap.so use_first_pass auth required pam_permit.so The third line is needed, so success=1 can skip over one module and still has a module to jump to. Without that, PAM segfaults! - If you want to use the pam_check_host_attr feature, make sure pam_unix.so doesn't provide a valid account via the Name Service Switch (NSS), which overrides your LDAP configuration. Don't use ldap for shadow in /etc/nsswitch.conf, just use shadow: files. For PAM, use something like the following: # Try local /etc/shadow first and skip LDAP on success account [success=1 default=ignore] pam_unix.so account required pam_ldap.so account required pam_permit.so - Ich denke, das könnte weiterhelfen. Grüße Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)