[RESOLU] Problème "broken pipe" avec NSS+PAM / LDA

[BZZz..]

Bonjour tout le monde,

J'essaie en ce moment de faire tourner une identification sur une base LDAP. J'ai suivi pas mal de howto's différents mais à chaque fois je suis coincé au même endroit. (j'utilise Mandrake 10.0 Download)

J'installe OpenLDAP, je remplis la base avec des posixGroup et des posixAccount, ensuite :

ln -s /lib/libnss_ldap.so.2 /lib/libnss_ldap.so

Jusqu'ici tout va bien. Mais quand je change dans nsswitch.conf :

group : files

en

group : files ldap

et que je fais

getent group

j'ai

root:x:0:
......
.......
ldap:x:77: (comme d'habitude)
Broken pipe

Keke j'ai fait ? Où ça un tube cassé ? A mon avis j'ai du oublier de lancer quelque chose, ou alors un truc a planté, mais quoi ?

Si vous avez une idée, n'hésitez pas ! Merciiii !

[lembal]

As-tu suivi ce How-to "fondateur" : http://samba.idealx.org/smbldap-howto.fr.html ...

[BZZz..]

ben vi... mais dans tous les howtos, le getent group est une formalité, alors que chez moi, il fait boum...

je comprends bien que c'est la requête NSS ldap qui marche pas alors qu'elle devrait passer toute seule, the question is : -why- ?

[lembal]

Bonne question ! Un de ces quatres je vais mettre en place un annuaire LDAP (pour gérer l'authentification de mon Samba3) mais pas de suite de suite... donc je peux pas t'aider maintenant à part te donner des liens intéressants...

[BZZz..]

Merci quand même !

Vu qu'il y a déjà plein de trucs qui tournent sur cette machine, je vais essayer déjà sur une machine propre pour voir si ça va mieux tout seul

Ceci dit, si ça marche je vais aussi manger du samba 3+ldap, donc à suivre !

[BZZz..]

Booooooon

après une bonne journée là-dessus, enfin ça valait le coup, nss/pam_ldap a livré quelques-uns de ses secrets.

1) Dans /etc/ldap.conf, actuellement si j'essaie de mettre autre chose que 127.0.0.1 ou localhost, c'est là que je récupère le "Broken pipe". Pourquoi, je sais pas...

2) si on configure NSS (nsswitch.conf) et pas PAM pour utiliser LDAP, getent group/passwd/shadow fonctionnent bien, mais passwd renvoie :
Password change aborted
passwd: Authentication token manipulation error
donc les mdp sont écrits par pam_ldap, mais lus par nss_ldap...

3) pour tout simplifier, la même erreur peut sortir pour une autre raison : si on l'a quand on fait
# passwd

et qu'on l'a pas quand on fait
# passwd utilisateur

c'est qu'il manque l'entrée rootbinddn dans /etc/ldap.conf et/ou le mot de passe root LDAP dans /etc/ldap.secret . Autre conséquence de cet oubli : même en root, passwd utilisateur demande imperturbablement l'ancien mot de passe.

La suite au prochain épisode !

[BZZz..]

Dans /etc/ldap.conf, actuellement si j'essaie de mettre autre chose que 127.0.0.1 ou localhost, c'est là que je récupère le "Broken pipe". Pourquoi, je sais pas...

Trouvé !

Dans /var/log/ldap/ldap.log :

slapd[5138]: fd=8 DENIED from unknown (192.168.0.10)

Et loin dans la FAQ d'OpenLDAP :

access from unknown denied : This related to TCP wrappers. See hosts_access(5) for more information.

ce qui mène à hosts.deny/.allow :

/etc # cat hosts.allow

/etc # cat hosts.deny
ALL:ALL EXCEPT 127.0.0.1:DENY

bon ben voilà, là au moins c'est clair

/etc # echo "slapd:192.168.0. " >> hosts.allow
et roule ma poule.

Conclusion : RTFM !