Autentification systeme par LDAP

[bobyII]

Bonjour a tous,

malgré les docs que j'ai récupérer et de nombreux essais, je n'y arrive toujours pas (je suis un peu mal comprenant).

Ma config. :
-----------------
Mandrake 10
openldap-2.1.25
pam_ldap-167
cyrus-sasl-2.1.15

J'ai modifié le fichier /etc/pam.d/system-auth.
Dans le fichier /var/log/ldap/ldap.log, en faisant un "SU ttest" j'ai :
------------------------------------------------------------------------------------
May 11 17:54:53 localhost slapd[2655]: conn=6 fd=12 ACCEPT from IP=127.0.0.1:1072 (IP=0.0.0.0:389)
May 11 17:54:53 localhost slapd[2655]: conn=6 op=0 BIND dn="" method=128
May 11 17:54:53 localhost slapd[2655]: conn=6 op=0 RESULT tag=97 err=0 text=
May 11 17:54:53 localhost slapd[2655]: conn=6 op=1 SRCH base="ou=Poeple,dc=MonDomaine,dc=com" scope=0 filter="(&(objectClass=posixAccount)(uid=ttest))"
May 11 17:54:53 localhost slapd[2655]: conn=6 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass
May 11 17:54:53 localhost slapd[2655]: conn=6 op=1 RESULT tag=101 err=32 text=
May 11 17:54:53 localhost slapd[2655]: conn=6 fd=12 closed
--------------------------------------------------------------------------------------


J'ai aussi ce message :
--------------------------
[root@localhost boby]# ldapsearch -U ttest '(objectclass=*)'
ldap_sasl_interactive_bind_s: No such attribute (16)


En fait, c'est un appel au secours .. si quelqu'un a une idée sur le truc que je n'ai pas ou mal fait pour que ca fonctionne ... merci

[popov]

Il manque des infos pour comprendre ton pb, comment a du construit ta base ldap, les listes attributs etc ...
il y a une incoherence sans doute.

[bobyII]

Salut popov,

Je viens, comme j'avais fait pas mal de bidouilles, de réinitialiser ma base LDAP.
En repartant donc d'une base vide, je l'ai remplie en utilisant les outils de migration "migrationtools" (avec "migrate_base.pl, etc...). J'ai ensuite chargé ma base avec les fichiers LDIF obtenus via phpldapadmin-0.9.3.

J'ai donc tous les users/groups de passwd/group dans ma base. Je crée un nouveau user ttest dans l'OU People. Et j'ai toujours un PB en faisant un "SU ttest":

Invite de commande
-------------------------------------
[root@localhost boby]# su ttest
su: L'usager ttest n'existe pas.


/var/log/ldap/ldap.log
-----------------------------------------------------
May 12 11:27:23 localhost slapd[9297]: conn=103 fd=14 ACCEPT from IP=127.0.0.1:1307 (IP=0.0.0.0:389)
May 12 11:27:23 localhost slapd[9297]: conn=103 op=0 BIND dn="" method=128
May 12 11:27:23 localhost slapd[9297]: conn=103 op=0 RESULT tag=97 err=0 text=
May 12 11:27:23 localhost slapd[9297]: conn=103 op=1 SRCH base="ou=Poeple,dc=mondomaine,dc=com" scope=0 filter="(&(objectClass=posixAccount)(uid=ttest))"
May 12 11:27:23 localhost slapd[9297]: conn=103 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass
May 12 11:27:23 localhost slapd[9297]: conn=103 op=1 RESULT tag=101 err=32 text=
May 12 11:27:23 localhost slapd[9297]: conn=103 fd=14 closed
-----------------------------------------------------


Je ne comprend pas bien le retour du log. et notament le "err=32".

[bobyII]

Quelqu'un sait il ou on peut trouver un guide pour lire le log LDAP (notament une correspondance Num erreur/ Libellé erreur.

[popov]

Je viens, comme j'avais fait pas mal de bidouilles, de réinitialiser ma base LDAP.

LDAP c'est tres precis, les bidouilles sont a proscrirent si tu veux faire quelques choses, as tu lis la doc ?

En repartant donc d'une base vide, je l'ai remplie en utilisant les outils de migration "migrationtools" (avec "migrate_base.pl, etc...). J'ai ensuite chargé ma base avec les fichiers LDIF obtenus via phpldapadmin-0.9.3.

ok sinon tu avais des commandes plus simple ldapadd

J'ai donc tous les users/groups de passwd/group dans ma base. Je crée un nouveau user ttest dans l'OU People. Et j'ai toujours un PB en faisant un "SU ttest":

Invite de commande
-------------------------------------
[root@localhost boby]# su ttest
su: L'usager ttest n'existe pas.

mmhmm je pense que tu as un pb avec le pam et switch qui fait la liaison entre ldap et les comptes de ta machines. mais j'ai tres tres peu d'info sur ce que tu as fais, comment ton arborecense est constitué tes fichiers ldap.conf etc...


/var/log/ldap/ldap.log
-----------------------------------------------------
May 12 11:27:23 localhost slapd[9297]: conn=103 fd=14 ACCEPT from IP=127.0.0.1:1307 (IP=0.0.0.0:389)
May 12 11:27:23 localhost slapd[9297]: conn=103 op=0 BIND dn="" method=128
May 12 11:27:23 localhost slapd[9297]: conn=103 op=0 RESULT tag=97 err=0 text=
May 12 11:27:23 localhost slapd[9297]: conn=103 op=1 SRCH base="ou=Poeple,dc=mondomaine,dc=com" scope=0 filter="(&(objectClass=posixAccount)(uid=ttest))"
May 12 11:27:23 localhost slapd[9297]: conn=103 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass
May 12 11:27:23 localhost slapd[9297]: conn=103 op=1 RESULT tag=101 err=32 text=
May 12 11:27:23 localhost slapd[9297]: conn=103 fd=14 closed
-----------------------------------------------------


Je ne comprend pas bien le retour du log. et notament le "err=32".

[bobyII]

Si je te donne mes fichiers de conf, ca peut peut etre te donner des indications sur un truc mal fait.

DANS /etc/ldap.conf
--------------------------------
host 127.0.0.1
base ou=Poeple,dc=mondomaine,dc=com
allow bind
ldap_version 3
port 389
scope base
pam_filter objectclass=posixaccount
pam_login_attribute uid
pam_member_attribute gid
pam_password crypt
ssl off


DANS /etc/openldap/ldap.conf
---------------------------------
BASE dc=mondomaine,dc=com
pam_login_attribute uid
pam_filter objectclass=posixAccount



DANS /etc/pam.d/system-auth
----------------------------------
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_ldap.so
password required pam_cracklib.so retry=3 minlen=2 dcredit=0 ucredit=0
password sufficient pam_unix.so nullok use_authtok md5 shadow
password required pam_deny.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0
session optional pam_ldap.so
session required pam_limits.so
session required pam_unix.so


Dans /etc/nsswitch.conf
--------------------------------
passwd: files ldap
shadow: files ldap
group: files ldap
hosts: files dns ldap
bootparams: nisplus [NOTFOUND=return] files
ethers: files ldap
netmasks: files ldap
networks: files ldap
protocols: files ldap
rpc: files ldap
services: files ldap
netgroup: ldap
publickey: ldap
automount: files ldap
aliases: files ldap
nss_base_passwd ou=People,dc=mondomaine,dc=com?one
nss_base_shadow ou=People,dc=mondomaine,dc=com?one
nss_base_group ou=People,dc=mondomaine,dc=com?one




Quant a l'arborescence, elle a été générée par les fichiers LDIF eux meme générés par les outils de migration. Les users sont dans l'OU People, les groupes dans OU=group, etc ... ceci sous "dc=mondomaine,dc=com"

Merci de m'aider dans ce grand moment de solitude

[bobyII]

Quelqu'un a t il un morceau de "ldap.log" dans lequel on voit une authentification qui fonctionne.
Ca me permeterai de savoir a quel niveau ca merdouille.

[bobyII]

Ca n'inspire personne mon petit problème ?

[ptitluc]

Salut,
en regardant vite fait ton post, j'ai repéré ça :

DANS /etc/ldap.conf
--------------------------------
host 127.0.0.1
base ou=Poeple,dc=mondomaine,dc=com
allow bind
ldap_version 3
port 389
scope base
pam_filter objectclass=posixaccount
pam_login_attribute uid
pam_member_attribute gid
pam_password crypt
ssl off

et ça :

/var/log/ldap/ldap.log
-----------------------------------------------------
May 12 11:27:23 localhost slapd[9297]: conn=103 fd=14 ACCEPT from IP=127.0.0.1:1307 (IP=0.0.0.0:389)
May 12 11:27:23 localhost slapd[9297]: conn=103 op=0 BIND dn="" method=128
May 12 11:27:23 localhost slapd[9297]: conn=103 op=0 RESULT tag=97 err=0 text=
May 12 11:27:23 localhost slapd[9297]: conn=103 op=1 SRCH base="ou=Poeple,dc=mondomaine,dc=com" scope=0 filter="(&(objectClass=posixAccount)(uid=ttest))"
May 12 11:27:23 localhost slapd[9297]: conn=103 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass
May 12 11:27:23 localhost slapd[9297]: conn=103 op=1 RESULT tag=101 err=32 text=
May 12 11:27:23 localhost slapd[9297]: conn=103 fd=14 closed
-----------------------------------------------------

Une faute de frappe ne serait-elle pas à l'origine de ton problème ?

Cordialement,
Luc

[bobyII]

Quel *** !!!

Merci ... je corrige ca de suite ... en espérant que mon PB viennent de la.



RESULTAT :
c'est mieux mais c'est pas encore ca.
Je n'ai plus l'erreur err=32 ... donc mieux.

Par contre, j'ai toujours "su: L'usager ttest n'existe pas." quand je fais mon "SU" avec un user qui existe dans ma base LDAP et qui n'est pas dans "passwd".

[drikcT]

essaye avec l'option -x pour ton ldapsearch (juste pour voir, une intuition, mais pas sûr)

[bobyII]

En fait, j'utilise phpLdapAdmin pour lire mes users et il les voit bien.

J'ai regarder l'aide en ligne de ldapsearch => -x = Simple authentication.
C'est vrai qu'avec ou sans le -x, ca se comporte pas pareil :

sans :
--------
[root@localhost boby]# ldapsearch filter=objectClass=posixAccount uid=ttest ldap_sasl_interactive_bind_s: No such attribute (16)



Avec :
---------
[root@localhost boby]# ldapsearch -x filter=objectClass=posixAccount uid=ttest
# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: filter=objectClass=posixAccount
# requesting: uid=ttest
#

# search result
search: 2
result: 0 Success

# numResponses: 1

_______________________________________
Tu penses a quoi. (des problèmes d'authentification SASL je suppose)


Merci

[angelus99]

Salut a tous.....

Je suis desole, je ne suis pas venu pour donner la reponse car je me trouve dans le meme cas....

Sous la Mandrake 9.2 j'avais reussi, plusieurs fois, a configurer la machine pour une authentification LDAP . Mais avec la Mandrake 10 et en utilisant les memes configurations (enfin si je me suis pas planté, ca peut arriver) impossible d'effectuer une authentification LDAP .

Les configurations que j'utilise sont similaire a celles de BobyII. le ldapsearch avec l'option -x fonctionne, mais sans le -x j'ai droit aussi au message d'erreur.

Lorsque je tente une authentification, dans les logs je peux voir qu'il fais bien une recherche mais il ne trouve aucun resultat.

Donc voila, j'ai egalement besoin d'aide car la je suis vraiment bloqué, et si quelqu'un aurait a tout hasard des liens sur une bonne documentation sur le SASL et le TLS je serais egalement interresse.

Merci d'avance a tous....

[angelus99]

Bonjour a tous......


J'ai trouvé mon erreur, a voir si pour toi bobyII c'est pareil....

J'ai du reparametrer mes ACLs. Pour tester j'ai entierement commente le fichier /etc/openldap/slapd.access.conf et j'ai rajouté a la fin


access to dn.base=""
by * read

access to *
by dn="cn=manager,dc=*******,dc=********" write
by * read


Avec ca tout le monde a le droit de lire.....

Et la j'ai pu me connecter avec un utilisateur de LDAP....

Salut......

[bobyII]

Salut,

j'ai fait ces modifs. mais j'ai toujours le meme comportement.

Concernant ta config., je ne vois pas pourquoi tu mets :
----------------------------------
access to dn.base=""
by * read
----------------------------------
AVANT
----------------------------------
access to *
by dn="cn=manager,dc=wyniwyg,dc=com" write
by * read
----------------------------------

"access to * ... by * read" n'autorise pas plus que access to "dn.base="" by * read" ?

PS : si tu as la meme config que moi mais qui fonctionne, tu peux me mettre l'extrait du log "ldap.conf" du log de connexion ? ... merci.