[gentoo-user-fr] ssh et ldap - gentoo-user-fr - Gentoo Mailing List Archives

From:	Christophe PEREZ <christophe.perez@×××××××.com>
To:	gentoo-user-fr@l.g.o
Subject:	[gentoo-user-fr] ssh et ldap
Date:	Thu, 20 Apr 2006 05:38:18
Message-Id:	`pan.2006.04.20.05.37.37.937926@novazur.fr`

1

Bonsoir,

2

3

Je me tourne vers vous parce que j'ai un petit mystère que je ne parviens

4

pas à élucider. Et s'il y a un expert LDAP dans le coin, je serai très

5

friand de ses lumières.

6

7

Sur mon réseau local, un serveur ldap, et X clients. Les X clients

8

partageant le même /home par NFS.

9

10

Même si je suis loin d'être un expert, mon serveur LDAP semble

11

fonctionner à peu près correctement, et ce, depuis un bon petit moment

12

déjà, même si je suis bien conscient que la config est un peu

13

hasardeuse.

14

15

Sur tous les clients, j'ai la même configuration nss_ldap et sshd (voir

16

plus bas).

17

Pourtant, je suis incapable de me connecter à un des postes par

18

ssh. A priori, depuis peu de temps, mais je ne sais pas exactement quand

19

puisque je ne me connecte pas souvent à ce poste (c'est le mien) par ssh.

20

21

Ce n'est pas un problème de clé ssh, mais bien de serveur ldap, puisque

22

dans /var/log/auth.log, je me retrouve avec des lignes :

23

24

Apr 20 01:22:06 KanelXP sshd[17827]: Accepted publickey for chris from 192.168.0.101 port 57600 ssh2

25

Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session opened for user chris by (uid=0)

26

Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server

27

Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_get_lastlog: Cannot find account for uid 501

28

Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server

29

Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_init_entry: Cannot find user "chris"

30

Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session closed for user chris

31

32

Sur toutes les machines, j'ai les mêmes versions de openssh, nss_ldap,

33

pam_ldap. Je ne parviens pas à trouver la différence qui fasse que la

34

connexion me soit interdite sur cette machine.

35

36

Je sais bien que c'est difficile d'y voir clair pour vous avec si peu

37

d'éléments, je ne sais pas quoi donner de plus pour ne pas

38

embrouiller. Mais peut-être que vos questions me mettront sur la piste...

39

40

Merci d'avance.

41

42

Dernière minute avant de poster :

43

Quelque chose a manifestement changé quelque part, puisque sur mon poste :

44

$ ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris"

45

Enter LDAP Password:

46

ldap_bind: Can't contact LDAP server (-1)

47

48

Ce qui pourtant fonctionnait bien avant. De plus, getent lui, renvoie les

49

bonnes informations.

50

51

========== /etc/ldap.conf =================

52

host ldap.novazur.fr

53

base dc=novazur,dc=fr

54

scope sub

55

pam_filter objectclass=posixaccount

56

pam_login_attribute uid

57

pam_member_attribute memberuid

58

pam_password exop

59

60

============ /etc/nsswitch.conf ============

61

passwd:      files ldap

62

shadow:      files ldap

63

group:       files ldap

64

hosts:       files dns ldap

65

networks:    files dns

66

services:    db files

67

protocols:   db files

68

rpc:         db files

69

ethers:      db files

70

netmasks:    files

71

netgroup:    files

72

bootparams:  files

73

automount:   files

74

aliases:     files

75

76

======== /etc/pam.d/system-auth ===========

77

auth       required     pam_env.so

78

auth       sufficient   pam_unix.so likeauth nullok

79

auth       sufficient   pam_ldap.so use_first_pass

80

auth       required     pam_deny.so

81

account    required     pam_unix.so

82

account    sufficient   pam_ldap.so

83

password   required     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3

84

password   sufficient   pam_unix.so nullok md5 shadow use_authtok

85

password   sufficient   pam_ldap.so use_authtok

86

password   required     pam_deny.so

87

session    required     pam_limits.so

88

session    required     pam_unix.so

89

session    required     pam_mkhomedir.so skel=/etc/skel/ umask=0

90

session    optional     pam_ldap.so

91

92

======== /etc/ssh/sshd_config =============

93

Protocol 2

94

PermitRootLogin no

95

PasswordAuthentication no

96

UsePAM yes

97

X11Forwarding yes

98

Subsystem       sftp    /usr/lib/misc/sftp-server

--

103

Christophe PEREZ

104

--

105

gentoo-user-fr@g.o mailing list

Gentoo Archives: gentoo-user-fr

Replies

1	Bonsoir,
2
3	Je me tourne vers vous parce que j'ai un petit mystère que je ne parviens
4	pas à élucider. Et s'il y a un expert LDAP dans le coin, je serai très
5	friand de ses lumières.
6
7	Sur mon réseau local, un serveur ldap, et X clients. Les X clients
8	partageant le même /home par NFS.
9
10	Même si je suis loin d'être un expert, mon serveur LDAP semble
11	fonctionner à peu près correctement, et ce, depuis un bon petit moment
12	déjà, même si je suis bien conscient que la config est un peu
13	hasardeuse.
14
15	Sur tous les clients, j'ai la même configuration nss_ldap et sshd (voir
16	plus bas).
17	Pourtant, je suis incapable de me connecter à un des postes par
18	ssh. A priori, depuis peu de temps, mais je ne sais pas exactement quand
19	puisque je ne me connecte pas souvent à ce poste (c'est le mien) par ssh.
20
21	Ce n'est pas un problème de clé ssh, mais bien de serveur ldap, puisque
22	dans /var/log/auth.log, je me retrouve avec des lignes :
23
24	Apr 20 01:22:06 KanelXP sshd[17827]: Accepted publickey for chris from 192.168.0.101 port 57600 ssh2
25	Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session opened for user chris by (uid=0)
26	Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server
27	Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_get_lastlog: Cannot find account for uid 501
28	Apr 20 01:22:06 KanelXP sshd[17827]: nss_ldap: could not search LDAP server - Can't contact LDAP server
29	Apr 20 01:22:06 KanelXP sshd[17827]: fatal: login_init_entry: Cannot find user "chris"
30	Apr 20 01:22:06 KanelXP sshd(pam_unix)[17832]: session closed for user chris
31
32	Sur toutes les machines, j'ai les mêmes versions de openssh, nss_ldap,
33	pam_ldap. Je ne parviens pas à trouver la différence qui fasse que la
34	connexion me soit interdite sur cette machine.
35
36	Je sais bien que c'est difficile d'y voir clair pour vous avec si peu
37	d'éléments, je ne sais pas quoi donner de plus pour ne pas
38	embrouiller. Mais peut-être que vos questions me mettront sur la piste...
39
40	Merci d'avance.
41
42	Dernière minute avant de poster :
43	Quelque chose a manifestement changé quelque part, puisque sur mon poste :
44	$ ldapsearch -x -W -D "cn=Manager,dc=novazur,dc=fr" "uid=chris"
45	Enter LDAP Password:
46	ldap_bind: Can't contact LDAP server (-1)
47
48	Ce qui pourtant fonctionnait bien avant. De plus, getent lui, renvoie les
49	bonnes informations.
50
51	========== /etc/ldap.conf =================
52	host ldap.novazur.fr
53	base dc=novazur,dc=fr
54	scope sub
55	pam_filter objectclass=posixaccount
56	pam_login_attribute uid
57	pam_member_attribute memberuid
58	pam_password exop
59
60	============ /etc/nsswitch.conf ============
61	passwd: files ldap
62	shadow: files ldap
63	group: files ldap
64	hosts: files dns ldap
65	networks: files dns
66	services: db files
67	protocols: db files
68	rpc: db files
69	ethers: db files
70	netmasks: files
71	netgroup: files
72	bootparams: files
73	automount: files
74	aliases: files
75
76	======== /etc/pam.d/system-auth ===========
77	auth required pam_env.so
78	auth sufficient pam_unix.so likeauth nullok
79	auth sufficient pam_ldap.so use_first_pass
80	auth required pam_deny.so
81	account required pam_unix.so
82	account sufficient pam_ldap.so
83	password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
84	password sufficient pam_unix.so nullok md5 shadow use_authtok
85	password sufficient pam_ldap.so use_authtok
86	password required pam_deny.so
87	session required pam_limits.so
88	session required pam_unix.so
89	session required pam_mkhomedir.so skel=/etc/skel/ umask=0
90	session optional pam_ldap.so
91
92	======== /etc/ssh/sshd_config =============
93	Protocol 2
94	PermitRootLogin no
95	PasswordAuthentication no
96	UsePAM yes
97	X11Forwarding yes
98	Subsystem sftp /usr/lib/misc/sftp-server
99
100
101
102	--
103	Christophe PEREZ
104	--
105	gentoo-user-fr@g.o mailing list