[RESOLU] Problème "broken pipe" avec NSS+PAM / LDA

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

[RESOLU] Problème "broken pipe" avec NSS+PAM / LDA

Messagepar BZZz.. » 01 Juil 2004 13:50

Bonjour tout le monde,

J'essaie en ce moment de faire tourner une identification sur une base LDAP. J'ai suivi pas mal de howto's différents mais à chaque fois je suis coincé au même endroit. (j'utilise Mandrake 10.0 Download)

J'installe OpenLDAP, je remplis la base avec des posixGroup et des posixAccount, ensuite :

ln -s /lib/libnss_ldap.so.2 /lib/libnss_ldap.so

Jusqu'ici tout va bien. Mais quand je change dans nsswitch.conf :

group : files

en

group : files ldap

et que je fais

getent group

j'ai

root:x:0:
......
.......
ldap:x:77:
(comme d'habitude)
Broken pipe


:shock: Keke j'ai fait ? Où ça un tube cassé ? A mon avis j'ai du oublier de lancer quelque chose, ou alors un truc a planté, mais quoi ? :?

Si vous avez une idée, n'hésitez pas ! Merciiii ! :D
Dernière édition par BZZz.. le 05 Juil 2004 18:01, édité 3 fois au total.
Avatar de l’utilisateur
BZZz..
Premier-Maître
Premier-Maître
 
Messages: 51
Inscrit le: 30 Mars 2004 11:47
Localisation: Paris

Messagepar lembal » 01 Juil 2004 14:07

As-tu suivi ce How-to "fondateur" : http://samba.idealx.org/smbldap-howto.fr.html ...
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar BZZz.. » 01 Juil 2004 14:08

ben vi... :( mais dans tous les howtos, le getent group est une formalité, alors que chez moi, il fait boum...

je comprends bien que c'est la requête NSS ldap qui marche pas alors qu'elle devrait passer toute seule, the question is : -why- ?
Avatar de l’utilisateur
BZZz..
Premier-Maître
Premier-Maître
 
Messages: 51
Inscrit le: 30 Mars 2004 11:47
Localisation: Paris

Messagepar lembal » 01 Juil 2004 14:30

Bonne question ! Un de ces quatres je vais mettre en place un annuaire LDAP (pour gérer l'authentification de mon Samba3) mais pas de suite de suite... donc je peux pas t'aider maintenant à part te donner des liens intéressants...
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar BZZz.. » 01 Juil 2004 15:32

Merci quand même ! :)

Vu qu'il y a déjà plein de trucs qui tournent sur cette machine, je vais essayer déjà sur une machine propre pour voir si ça va mieux tout seul

Ceci dit, si ça marche je vais aussi manger du samba 3+ldap, donc à suivre ! :wink:
Avatar de l’utilisateur
BZZz..
Premier-Maître
Premier-Maître
 
Messages: 51
Inscrit le: 30 Mars 2004 11:47
Localisation: Paris

Messagepar BZZz.. » 05 Juil 2004 16:27

Booooooon

:up: après une bonne journée là-dessus, enfin ça valait le coup, nss/pam_ldap a livré quelques-uns de ses secrets.

1) Dans /etc/ldap.conf, actuellement si j'essaie de mettre autre chose que 127.0.0.1 ou localhost, c'est là que je récupère le "Broken pipe". Pourquoi, je sais pas... :help:

2) si on configure NSS (nsswitch.conf) et pas PAM pour utiliser LDAP, getent group/passwd/shadow fonctionnent bien, mais passwd renvoie :
Password change aborted
passwd: Authentication token manipulation error
donc les mdp sont écrits par pam_ldap, mais lus par nss_ldap... :-s :?: :?: :?:

3) pour tout simplifier, la même erreur peut sortir pour une autre raison : si on l'a quand on fait
# passwd

et qu'on l'a pas quand on fait
# passwd utilisateur

c'est qu'il manque l'entrée rootbinddn dans /etc/ldap.conf et/ou le mot de passe root LDAP dans /etc/ldap.secret . Autre conséquence de cet oubli : même en root, passwd utilisateur demande imperturbablement l'ancien mot de passe.

La suite au prochain épisode ! :)
Avatar de l’utilisateur
BZZz..
Premier-Maître
Premier-Maître
 
Messages: 51
Inscrit le: 30 Mars 2004 11:47
Localisation: Paris

Messagepar BZZz.. » 05 Juil 2004 17:57

Dans /etc/ldap.conf, actuellement si j'essaie de mettre autre chose que 127.0.0.1 ou localhost, c'est là que je récupère le "Broken pipe". Pourquoi, je sais pas... :help:


#-o \:D/ Trouvé !

Dans /var/log/ldap/ldap.log :
slapd[5138]: fd=8 DENIED from unknown (192.168.0.10)

Et loin dans la FAQ d'OpenLDAP :
access from unknown denied : This related to TCP wrappers. See hosts_access(5) for more information.


ce qui mène à hosts.deny/.allow :

/etc # cat hosts.allow
:? :-#
/etc # cat hosts.deny
ALL:ALL EXCEPT 127.0.0.1:DENY :shock:

bon ben voilà, là au moins c'est clair

/etc # echo "slapd:192.168.0. " >> hosts.allow
et roule ma poule.

Conclusion : RTFM ! :wink:
Avatar de l’utilisateur
BZZz..
Premier-Maître
Premier-Maître
 
Messages: 51
Inscrit le: 30 Mars 2004 11:47
Localisation: Paris


Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron