[plamo:25378] LDAPだけのユーザによるlogin

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:25378] LDAPだけのユーザによるlogin

From:KIDO Hideyuki

Date:Mon, 25 Apr 2005 19:36:36 +0900 (JST)

Subject: [plamo:25378] LDAPだけのユーザによるlogin
From: KIDO Hideyuki <rp9h-kd@xxxxxxxxxxxxxxx>
Date: Mon, 25 Apr 2005 19:36:49 +0900 (JST)

きどです。

しばらく前の加藤さんの「PAM, pam_ldap」に触発されて、Plamo-4.02 上で
LDAP に挑戦しています。最終目標は、samba や apache BASIC 認証の LDAP 
化です。最近、職場の Debian で上記のサービスを構築したので、Plamo でも
できたらいいなと思いまして……。

ところが、OpenLDAP, nss_ldap, pam_ldap のインストールと設定まで済んだ
ところでつまづいてしまいました。問題は、/etc/passwd には存在しないが、
LDAP には存在するユーザが login できない、というものです。id でもユー
ザ情報を引けません。

LDAP は正常に動作していると思います。/etc/passwd にエントリがあるユー
ザ・アカウントであれば、たとえ、/etc/pam.d/login を pam_ldap.so だけで
認証を行うように変更しても問題なく login させることができます。また、
login 時にわざと間違ったパスワードを与えると、LDAP のパスワード入力を
求められ、これに正しいパスワードを与えれば login が成功します。つぎの
ような具合いです。

    teru login: hoge                <-- /etc/passwd にあるアカウント
    Password: (INVALID PASSWD)      <-- 間違ったパスワード
    LDAP Password: (VALID PASSWD)   <-- 正しいパスワード
    
    hoge@teru:~$                    <-- login 成功

LDAP にだけ存在するアカウントだと……

    teru login: test                <-- /etc/passwd にあるアカウント
    Password: (VALID PASSWD)        <-- 正しいパスワード
    LDAP Password: (VALID PASSWD)   <-- 正しいパスワード
    Login Incorrect                 <-- login 失敗

これって、やはり openldap, nss_ldap, pam_ldap の設定がまずいのでしょう
か? アドバイスお願い申し上げます。

少し長くなりますが、現在の設定は以下のとおりです。

openldap-2.2.24
nss_ldap-238
pam_ldap-178

####################################################################
/etc/openldap/slapd.conf
####################################################################
include		/etc/openldap/schema/core.schema
include		/etc/openldap/schema/cosine.schema
include		/etc/openldap/schema/dyngroup.schema
include		/etc/openldap/schema/inetorgperson.schema
include		/etc/openldap/schema/misc.schema
include		/etc/openldap/schema/nis.schema
pidfile		/var/run/slapd.pid
argsfile	/var/run/slapd.args
allow		bind_v2
password-hash	{CRYPT}
access to attrs=userPassword
	by self write
	by dn="cn=admin,dc=teru,dc=kido,dc=com" write
	by anonymous auth
	by * none
access to *
	by dn="cn=admin,dc=teru,dc=kido,dc=com" write
	by self write
	by * read
database	bdb
suffix		"dc=teru,dc=kido,dc=com"
rootdn		"cn=admin,dc=teru,dc=kido,dc=com"
rootpw          {CRYPT}XXXXXXXXXXXXX
directory	/var/lib/openldap-data
index	objectClass	eq

####################################################################
/etc/openldap/ldap.conf
####################################################################
BASE	dc=teru,dc=kido,dc=com
URI	ldap://localhost
HOST	127.0.0.1

####################################################################
/etc/ldap.conf
####################################################################
host 127.0.0.1
base dc=teru,dc=kido,dc=com
rootbinddn cn=admin,dc=teru,dc=kido,dc=com
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_password crypt

####################################################################
/etc/pam.d/login （pam.conf は別名にリネームしています。）
####################################################################
auth       required	/lib/security/pam_securetty.so
auth       required     /lib/security/pam_nologin.so
auth       sufficient	/lib/security/pam_unix_auth.so
auth       required	/lib/security/pam_ldap.so try_first_pass
account    sufficient	/lib/security/pam_unix_acct.so
account    required	/lib/security/pam_ldap.so
password   required	/lib/security/pam_cracklib.so
password   required	/lib/security/pam_pwdb.so
password   required     /lib/security/pam_ldap.so use_first_pass
session    required	/lib/security/pam_unix_session.so

####################################################################
/etc/nsswitch.conf
####################################################################
passwd:     files ldap
shadow:     files ldap
group:      files ldap
hosts:      files nisplus nis dns
networks:   files nisplus
ethers:     files db nisplus
protocols:  files db nisplus
rpc:        files db nisplus
services:   files db nisplus

####################################################################
ldap 内の TEST ユーザ・エントリ（/etc/passwd には存在しない）

  Plamo の adduser コマンドで作成後、http://www.padl.com/ の
  migration-tools で作った LDIF を LDAP に登録し、その後、
  userdel コマンドで /etc/passwd からエントリを削除しました。
####################################################################
dn: uid=test,ou=People,dc=teru,dc=kido,dc=com
uid: test
cn: LDAP Test User
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword:: e2NyXXXXXXXXXXX
shadowLastChange: 12897
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 10010
gidNumber: 100
homeDirectory: /home/test
gecos: LDAP Test User,,,

--
きど
rp9h-kd@asahi-net.or.jp

Follow-Ups
: [plamo:25379] Re: LDAPだけのユーザによるlogin, 名倉昭一; [plamo:25381] Re: LDAPだけのユーザによるlogin, KATOH Yasufumi; [plamo:25385] Re: LDAPだけのユーザによるlogin, TANAKA _FORZA_ Toshihisa

Prev by Date: [plamo:25377] Re: BINDの悩みは、どこに？
Next by Date: [plamo:25379] Re: LDAPだけのユーザによるlogin
Previous by thread: [plamo:25375] mozilla 1.7.7
Next by thread: [plamo:25379] Re: LDAPだけのユーザによるlogin
Index(es):
- Date
- Thread

[検索ページ] [メール一覧]
Plamo ML 公開システム