1 |
Bonsoir, |
2 |
|
3 |
Je me tourne vers vous parce que j'ai un petit mystère que je ne parviens |
4 |
pas à élucider. Et s'il y a un expert LDAP dans le coin, je serai très |
5 |
friand de ses lumières. |
6 |
|
7 |
Sur mon réseau local, un serveur ldap, et X clients. Les X clients |
8 |
partageant le même /home par NFS. |
9 |
|
10 |
Même si je suis loin d'être un expert, mon serveur LDAP semble |
11 |
fonctionner à peu près correctement, et ce, depuis un bon petit moment |
12 |
déjà, même si je suis bien conscient que la config est un peu |
13 |
hasardeuse. |
14 |
|
15 |
Sur tous les clients, j'ai la même configuration nss_ldap et sshd (voir |
16 |
plus bas). |
17 |
Pourtant, je suis incapable de me connecter à un des postes par |
18 |
ssh. A priori, depuis peu de temps, mais je ne sais pas exactement quand |
19 |
puisque je ne me connecte pas souvent à ce poste (c'est le mien) par ssh. |
20 |
|
21 |
Ce n'est pas un problème de clé ssh, mais bien de serveur ldap, puisque |
22 |
dans /var/log/auth.log, je me retrouve avec des lignes : |
23 |
|
24 |
Apr 20 01:22:06 KanelXP sshd[17827]: Accepted publickey for chris from 192.168.0.101 port 57600 ssh2 |
25 |
Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session opened for user chris by (uid=0) |
26 |
Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server |
27 |
Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_get_lastlog: Cannot find account for uid 501 |
28 |
Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server |
29 |
Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_init_entry: Cannot find user "chris" |
30 |
Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session closed for user chris |
31 |
|
32 |
Sur toutes les machines, j'ai les mêmes versions de openssh, nss_ldap, |
33 |
pam_ldap. Je ne parviens pas à trouver la différence qui fasse que la |
34 |
connexion me soit interdite sur cette machine. |
35 |
|
36 |
Je sais bien que c'est difficile d'y voir clair pour vous avec si peu |
37 |
d'éléments, je ne sais pas quoi donner de plus pour ne pas |
38 |
embrouiller. Mais peut-être que vos questions me mettront sur la piste... |
39 |
|
40 |
Merci d'avance. |
41 |
|
42 |
Dernière minute avant de poster : |
43 |
Quelque chose a manifestement changé quelque part, puisque sur mon poste : |
44 |
$ ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris" |
45 |
Enter LDAP Password: |
46 |
ldap_bind: Can't contact LDAP server (-1) |
47 |
|
48 |
Ce qui pourtant fonctionnait bien avant. De plus, getent lui, renvoie les |
49 |
bonnes informations. |
50 |
|
51 |
========== /etc/ldap.conf ================= |
52 |
host ldap.novazur.fr |
53 |
base dc=novazur,dc=fr |
54 |
scope sub |
55 |
pam_filter objectclass=posixaccount |
56 |
pam_login_attribute uid |
57 |
pam_member_attribute memberuid |
58 |
pam_password exop |
59 |
|
60 |
============ /etc/nsswitch.conf ============ |
61 |
passwd: files ldap |
62 |
shadow: files ldap |
63 |
group: files ldap |
64 |
hosts: files dns ldap |
65 |
networks: files dns |
66 |
services: db files |
67 |
protocols: db files |
68 |
rpc: db files |
69 |
ethers: db files |
70 |
netmasks: files |
71 |
netgroup: files |
72 |
bootparams: files |
73 |
automount: files |
74 |
aliases: files |
75 |
|
76 |
======== /etc/pam.d/system-auth =========== |
77 |
auth required pam_env.so |
78 |
auth sufficient pam_unix.so likeauth nullok |
79 |
auth sufficient pam_ldap.so use_first_pass |
80 |
auth required pam_deny.so |
81 |
account required pam_unix.so |
82 |
account sufficient pam_ldap.so |
83 |
password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3 |
84 |
password sufficient pam_unix.so nullok md5 shadow use_authtok |
85 |
password sufficient pam_ldap.so use_authtok |
86 |
password required pam_deny.so |
87 |
session required pam_limits.so |
88 |
session required pam_unix.so |
89 |
session required pam_mkhomedir.so skel=/etc/skel/ umask=0 |
90 |
session optional pam_ldap.so |
91 |
|
92 |
======== /etc/ssh/sshd_config ============= |
93 |
Protocol 2 |
94 |
PermitRootLogin no |
95 |
PasswordAuthentication no |
96 |
UsePAM yes |
97 |
X11Forwarding yes |
98 |
Subsystem sftp /usr/lib/misc/sftp-server |
99 |
|
100 |
|
101 |
|
102 |
-- |
103 |
Christophe PEREZ |
104 |
-- |
105 |
gentoo-user-fr@g.o mailing list |