Re: [Solaris_fr] PB de lenteur lors de l'authentification OpenLDAP
> ces bugs sont spécifiques à pam_ldap(5) et à la partie 'account > management'. Pour connaitre l'état dans compte (expiré, bloqué, etc ..) > pam_ldap(5) doit se connecter au server LDAP avec l'identité de > l'utilisateur concerné. Ce qui nécessite que l'utilisateur donne > son mot de passe. Effectvement le bug se résout en remplaçant cette ligne : #other account binding pam_unix_account.so.1 server_policy other account binding pam_unix_account.so.1 -- Christian Pélissier Office National d'Études et de Recherches Aérospatiales BP 72 92322 Chatillon Tel: 33 1 46 73 44 19, Fax: 33 1 46 73 41 50 ___ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr
Re: [Solaris_fr] PB de lenteur lors de l'authentification OpenLDAP
Christian PELISSIER wrote On 03/06/06 09:07 AM,: > Le ven 03/03/2006 à 17:23, Serge Dussud a écrit : > > >>>Par contre je n'arrive toujours pas à m'authentifier avec dtlogin et >>>l'authentification RSA de SSH est cassée par le module pam_ldap. Si >>>quelqu'un a des tuyaux sur le sujet cela m'intéresse. >> >>as-tu plus de détails sur ce qui est cassé par le module >>pam_ldap (je ne connais pas beaucoup ssh, un peu plus >>pam_ldap) ? >> >>Serge >> > > > En fait c'est un bug connu signalé 3 fois bug Id 6338769, 4962745 et > 4909247. Le problème affecte en fait tout mode d'authentification sans > mot de passe .rhosts pour rsh et rlogin clé RSA/DSA pour ssh. plus exactement, ce bug affecte la partie 'account management' (désolé, je ne trouve pas le terme français correspondant), et pas la partie authentification. I.e., dans pam.conf(4), les lignes dont le type de module est 'account', pas celles dont le type de module est 'auth'. > Ce que je n'arrive pas bien à comprendre c'est si le bug est situé au > niveau de sshd ou de pam_ldap. ces bugs sont spécifiques à pam_ldap(5) et à la partie 'account management'. Pour connaitre l'état dans compte (expiré, bloqué, etc ..) pam_ldap(5) doit se connecter au server LDAP avec l'identité de l'utilisateur concerné. Ce qui nécessite que l'utilisateur donne son mot de passe. > > Il ne reste plus qu'a attendre l'arrivée du patch qui corrigera ce bug. C'est en cours. A noter toutefois que le fix implique des modifications côté serveur LDAP également, et ne sera donc disponible que si le serveur LDAP est le JES DS 5.2sp4. Serge > > > > > > > > > > ___ > Solaris_fr liste de diffusion en français pour Solaris, sur toutes > architectures > Solaris_fr@x86.sun.com > http://x86.sun.com/mailman/listinfo/solaris_fr ___ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr
Re: [Solaris_fr] PB de lenteur lors de l'authentification OpenLDAP
Le ven 03/03/2006 à 17:23, Serge Dussud a écrit : > > Par contre je n'arrive toujours pas à m'authentifier avec dtlogin et > > l'authentification RSA de SSH est cassée par le module pam_ldap. Si > > quelqu'un a des tuyaux sur le sujet cela m'intéresse. > > as-tu plus de détails sur ce qui est cassé par le module > pam_ldap (je ne connais pas beaucoup ssh, un peu plus > pam_ldap) ? > > Serge > En fait c'est un bug connu signalé 3 fois bug Id 6338769, 4962745 et 4909247. Le problème affecte en fait tout mode d'authentification sans mot de passe .rhosts pour rsh et rlogin clé RSA/DSA pour ssh. Ce que je n'arrive pas bien à comprendre c'est si le bug est situé au niveau de sshd ou de pam_ldap. Il ne reste plus qu'a attendre l'arrivée du patch qui corrigera ce bug. -- Christian Pélissier Office National d'Études et de Recherches Aérospatiales BP 72 92322 Chatillon Tel: 33 1 46 73 44 19, Fax: 33 1 46 73 41 50 ___ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr
Re: [Solaris_fr] PB de lenteur lors de l'authentification OpenLDAP
Christian PELISSIER wrote On 03/03/06 09:17 AM,: > Pour info j'ai résolu le problème de lenteur de l'authentification LDAP > en ajoutant des index dans slapd.conf et en réindexant (slapindex). Du > coup c'est aussi rapide qu'avec une entrée locale. > > # Indices to maintain > index objectClass eq > > # Accélération des fonctions getpwuid getpwnam getgrgid ... > index uid pres,eq > index uidNumber eq > index gidNumber eq > index cn,sn pres,eq,sub > > Par contre je n'arrive toujours pas à m'authentifier avec dtlogin et > l'authentification RSA de SSH est cassée par le module pam_ldap. Si > quelqu'un a des tuyaux sur le sujet cela m'intéresse. as-tu plus de détails sur ce qui est cassé par le module pam_ldap (je ne connais pas beaucoup ssh, un peu plus pam_ldap) ? Serge ___ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr