[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:25378] LDAPだけのユーザによるlogin
-
From:KIDO Hideyuki
-
Date:Mon, 25 Apr 2005 19:36:36 +0900 (JST)
- Subject: [plamo:25378] LDAPだけのユーザによるlogin
- From: KIDO Hideyuki <rp9h-kd@xxxxxxxxxxxxxxx>
- Date: Mon, 25 Apr 2005 19:36:49 +0900 (JST)
きどです。
しばらく前の加藤さんの「PAM, pam_ldap」に触発されて、Plamo-4.02 上で
LDAP に挑戦しています。最終目標は、samba や apache BASIC 認証の LDAP
化です。最近、職場の Debian で上記のサービスを構築したので、Plamo でも
できたらいいなと思いまして……。
ところが、OpenLDAP, nss_ldap, pam_ldap のインストールと設定まで済んだ
ところでつまづいてしまいました。問題は、/etc/passwd には存在しないが、
LDAP には存在するユーザが login できない、というものです。id でもユー
ザ情報を引けません。
LDAP は正常に動作していると思います。/etc/passwd にエントリがあるユー
ザ・アカウントであれば、たとえ、/etc/pam.d/login を pam_ldap.so だけで
認証を行うように変更しても問題なく login させることができます。また、
login 時にわざと間違ったパスワードを与えると、LDAP のパスワード入力を
求められ、これに正しいパスワードを与えれば login が成功します。つぎの
ような具合いです。
teru login: hoge <-- /etc/passwd にあるアカウント
Password: (INVALID PASSWD) <-- 間違ったパスワード
LDAP Password: (VALID PASSWD) <-- 正しいパスワード
hoge@teru:~$ <-- login 成功
LDAP にだけ存在するアカウントだと……
teru login: test <-- /etc/passwd にあるアカウント
Password: (VALID PASSWD) <-- 正しいパスワード
LDAP Password: (VALID PASSWD) <-- 正しいパスワード
Login Incorrect <-- login 失敗
これって、やはり openldap, nss_ldap, pam_ldap の設定がまずいのでしょう
か? アドバイスお願い申し上げます。
少し長くなりますが、現在の設定は以下のとおりです。
openldap-2.2.24
nss_ldap-238
pam_ldap-178
####################################################################
/etc/openldap/slapd.conf
####################################################################
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/dyngroup.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
allow bind_v2
password-hash {CRYPT}
access to attrs=userPassword
by self write
by dn="cn=admin,dc=teru,dc=kido,dc=com" write
by anonymous auth
by * none
access to *
by dn="cn=admin,dc=teru,dc=kido,dc=com" write
by self write
by * read
database bdb
suffix "dc=teru,dc=kido,dc=com"
rootdn "cn=admin,dc=teru,dc=kido,dc=com"
rootpw {CRYPT}XXXXXXXXXXXXX
directory /var/lib/openldap-data
index objectClass eq
####################################################################
/etc/openldap/ldap.conf
####################################################################
BASE dc=teru,dc=kido,dc=com
URI ldap://localhost
HOST 127.0.0.1
####################################################################
/etc/ldap.conf
####################################################################
host 127.0.0.1
base dc=teru,dc=kido,dc=com
rootbinddn cn=admin,dc=teru,dc=kido,dc=com
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_password crypt
####################################################################
/etc/pam.d/login (pam.conf は別名にリネームしています。)
####################################################################
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_unix_auth.so
auth required /lib/security/pam_ldap.so try_first_pass
account sufficient /lib/security/pam_unix_acct.so
account required /lib/security/pam_ldap.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so
password required /lib/security/pam_ldap.so use_first_pass
session required /lib/security/pam_unix_session.so
####################################################################
/etc/nsswitch.conf
####################################################################
passwd: files ldap
shadow: files ldap
group: files ldap
hosts: files nisplus nis dns
networks: files nisplus
ethers: files db nisplus
protocols: files db nisplus
rpc: files db nisplus
services: files db nisplus
####################################################################
ldap 内の TEST ユーザ・エントリ(/etc/passwd には存在しない)
Plamo の adduser コマンドで作成後、http://www.padl.com/ の
migration-tools で作った LDIF を LDAP に登録し、その後、
userdel コマンドで /etc/passwd からエントリを削除しました。
####################################################################
dn: uid=test,ou=People,dc=teru,dc=kido,dc=com
uid: test
cn: LDAP Test User
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword:: e2NyXXXXXXXXXXX
shadowLastChange: 12897
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 10010
gidNumber: 100
homeDirectory: /home/test
gecos: LDAP Test User,,,
--
きど
rp9h-kd@asahi-net.or.jp
- Follow-Ups
-
- [plamo:25379] Re: LDAPだけのユーザによるlogin, 名倉昭一
- [plamo:25381] Re: LDAPだけのユーザによるlogin, KATOH Yasufumi
- [plamo:25385] Re: LDAPだけのユーザによるlogin, TANAKA _FORZA_ Toshihisa
[検索ページ]
[メール一覧]
Plamo ML 公開システム