LDAP Mandriva / check pass; user unknown [Résolu]

interpol · 12/03/2007, 22h36

Bonjour,

Besoin d'aide. Voila je suis novice dans LDAP cependant je l'ai mis en place sur un serveur Mandriva noyau 2.6.12-12mdksmp.
J'ai cree deux utilisateur dans la base avec mot de passe md5. Cependant j'ai dans les logs /var/log/auth.log l'erreur suivante :

Mar 12 22:33:12 localhost sshd[9822]: Invalid user seb from 10.157.153.4
Mar 12 22:33:12 localhost sshd[9822]: Failed none for invalid user seb from 10.157.153.4 port 34645 ssh2
Mar 12 22:33:14 localhost sshd(pam_unix)[9822]: check pass; user unknown
Mar 12 22:33:14 localhost sshd(pam_unix)[9822]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=netnms.nms
Mar 12 22:33:16 localhost sshd[9822]: Failed password for invalid user seb from 10.157.153.4 port 34645 ssh2
Mar 12 22:33:16 localhost sshd(pam_unix)[9822]: check pass; user unknown
Mar 12 22:33:18 localhost sshd[9822]: Failed password for invalid user seb from 10.157.153.4 port 34645 ssh2

Quelqu'un aurait une idée ?

Voici ma configuration :
J'ai modifié mes fichiers /etc/nsswitch.conf et /etc/ldap.conf avec ceci :
nsswitch.conf
passwd: files ldap nisplus
shadow: files ldap nisplus
group: files ldap nisplus

/etc/ldap.conf
HOST 127.0.0.1 10.157.153.6 dnsnms.nms ldap.dnsnms.nms ldap-master.dnsnms.nms:666
BASE dc=dnsnms,dc=nms
URI ldap://ldap.dnsnms.nms ldaps://ldap.dnsnms.nms ldap://ldap-master.dnsnms.nms:666

ldap_version 3
port 389
scope one
pam_filter objectclass=posixaccount
pam_login_attribute uid
pam_member_attribute gid
pam_password crypt
nss_base_passwd cn=Group,dc=dnsnms,dc=nms?sub
nss_base_shadow cn=Group,dc=dnsnms,dc=nms?sub
nss_base_group cn=Group,dc=dnsnms,dc=com?sub
#### Securise la connexion
ssl start_tls
tls_cacertfile /etc/ssl/openldap/ldap.pem
tls_checkpeer yes

Mes fichiers Pam.d :
cat system-auth
#%PAM-1.0

auth required /lib/security/pam_env.so
auth sufficient /lib/security/pam_unix.so likeauth nullok
auth sufficient /lib/security/pam_ldap.so use_first_pass
auth required /lib/security/pam_deny.so
account required /lib/security/pam_unix.so
account sufficient /lib/security/pam_localuser.so
account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore authinfo_unavail=ignore] /lib/security/pam_ldap.so
account required /lib/security/pam_deny.so
password required /lib/security/pam_cracklib.so retry=3 minlen=2 dcredit=0 ucredit=0
password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/pam_ldap.so
password required /lib/security/pam_deny.so

cat sshd
#%PAM-1.0
auth required pam_listfile.so item=user sense=deny file=/etc/ssh/denyusers
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
auth sufficient pam_ldap.so
account required pam_stack.so service=system-auth
account sufficient pam_ldap.so
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth

session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so

Quelqu'un aurait une idée ?

julp · 13/03/2007, 11h41

Il y a quelques incohérences dans vos différentes configurations :
1.

Citation:

J'ai cree deux utilisateur dans la base avec mot de passe md5.

Citation:

Envoyé par /etc/ldap.conf

pam_password crypt

2.

Citation:

Envoyé par /etc/ldap.conf

HOST 127.0.0.1 10.157.153.6 dnsnms.nms ldap.dnsnms.nms ldap-master.dnsnms.nms:666
URI ldap://ldap.dnsnms.nms ldaps://ldap.dnsnms.nms ldap://ldap-master.dnsnms.nms:666
port 389

Les directives host + port sont dépréciées en faveur de uri. Notons que host + port est équivalent à uri c'est pourquoi vous ne devriez en faire apparaître qu'un seul.

Pour revenir au problème vous avez bien :

Citation:

UsePam yes

dans /etc/ssh/sshd_config ? Le problème d'identification ne concerne-t-il uniquement le service ssh ?

Julp.

interpol · 13/03/2007, 19h45

Merci de Julp de ta réponse,

j'ai rectifié en mettant en commentaire l'URi dans /etc/ldap.conf

Oui l'option UsePAM yes est bien matché, d'ailleur je me suis servis de ton site, pour monter mon serveur ldap ( Merci ).

Maintenant le probleme est résolut, je crois en mettant ceci comme index de recherche dans slapd.conf :
# Les attributs indexes
index objectClass eq
index cn,sn,uid,displayName pres,sub,eq
index uidNumber,gidNumber eq
index memberUid eq
index uniqueMember eq

J'ai plus aucune erreur dans /var/log/ldap/ldap.log

Par contre a présent, j'ai cree un nouvelle user sous unix, realiser le migrationtools comme il faut, mais a present j'ai ca comme erreur dans auth.log:

Mar 13 19:40:32 localhost sshd[15620]: pam_ldap: error trying to bind as user "uid=toto,ou=People,dc=dnsnms,dc=nms" (Invalid credentials)
Mar 13 19:40:32 localhost sshd(pam_unix)[15620]: check pass; user unknown
Mar 13 19:40:32 localhost sshd(pam_unix)[15620]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost
Mar 13 19:40:34 localhost sshd[15618]: error: PAM: User not known to the underlying authentication module for toto from localhost

Donc ton aide est tjrs la bienvenu

julp · 13/03/2007, 22h54

Première chose : je vous recommanderais d'activer tls et/ou ssl en tout dernier (et de vérifier son bon fonctionnement avec tcpdump, par exemple).

Ensuite, avez-vous des erreurs avec d'autres clients (ldapsearch - avec authentification, id, ...) ? D'après votre configuration, nss utilise sans doute une authentification anonyme pour vérifier l'accès, vos ACL le permettent-elles ? Si non, il faut revoir votre configuration au niveau des ACL ou utiliser un compte à cette fin (peut aussi requérir certaines modifications dans vos ACL).

A priori il ne trouve pas les utilisateurs, il vous faudrait également vérifier qu'il n'y a pas d'erreur dans la localisation de ceux-ci (DN fournis pour nss notamment) ou plus en amont :

Edit :

Citation:

nss_base_passwd cn=Group,dc=dnsnms,dc=nms?sub

Citation:

uid=toto,ou=People,dc=dnsnms,dc=nms

A corriger.

Julp.

interpol · 14/03/2007, 10h42

Salut Julp

A vrai dire, j'ai modifier le mote de passe, car lors de l'import avec l'outil Migration, les mots de passe passe en {crypt}x, ce qui correspond pas au mot passe. Donc avec phpldapadmin, j'ai changé le mot de passe, et la sa mache, génial, hyper content.

J'ai remis la securisation ssl et tls. Je vais affiner ma conf par rapport a ce que tu m'a dis ( Group/People ).

Mille merci de ton aide, et si ta besoin d"info sur la conf Linux Mandriva pour l'ajouter a ton site ( qui ne parle que de Freebsd

), pas de soucis.

Amicalement

12/03/2007, 22h36	#1
interpol Invité de passage Inscription : mars 2007 Messages : 5 Détails du profil Informations forums : Inscription : mars 2007 Messages : 5 Points : 3 Points : 3	LDAP Mandriva / check pass; user unknown Bonjour, Besoin d'aide. Voila je suis novice dans LDAP cependant je l'ai mis en place sur un serveur Mandriva noyau 2.6.12-12mdksmp. J'ai cree deux utilisateur dans la base avec mot de passe md5. Cependant j'ai dans les logs /var/log/auth.log l'erreur suivante : Mar 12 22:33:12 localhost sshd[9822]: Invalid user seb from 10.157.153.4 Mar 12 22:33:12 localhost sshd[9822]: Failed none for invalid user seb from 10.157.153.4 port 34645 ssh2 Mar 12 22:33:14 localhost sshd(pam_unix)[9822]: check pass; user unknown Mar 12 22:33:14 localhost sshd(pam_unix)[9822]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=netnms.nms Mar 12 22:33:16 localhost sshd[9822]: Failed password for invalid user seb from 10.157.153.4 port 34645 ssh2 Mar 12 22:33:16 localhost sshd(pam_unix)[9822]: check pass; user unknown Mar 12 22:33:18 localhost sshd[9822]: Failed password for invalid user seb from 10.157.153.4 port 34645 ssh2 Quelqu'un aurait une idée ? Voici ma configuration : J'ai modifié mes fichiers /etc/nsswitch.conf et /etc/ldap.conf avec ceci : nsswitch.conf passwd: files ldap nisplus shadow: files ldap nisplus group: files ldap nisplus /etc/ldap.conf HOST 127.0.0.1 10.157.153.6 dnsnms.nms ldap.dnsnms.nms ldap-master.dnsnms.nms:666 BASE dc=dnsnms,dc=nms URI ldap://ldap.dnsnms.nms ldaps://ldap.dnsnms.nms ldap://ldap-master.dnsnms.nms:666 ldap_version 3 port 389 scope one pam_filter objectclass=posixaccount pam_login_attribute uid pam_member_attribute gid pam_password crypt nss_base_passwd cn=Group,dc=dnsnms,dc=nms?sub nss_base_shadow cn=Group,dc=dnsnms,dc=nms?sub nss_base_group cn=Group,dc=dnsnms,dc=com?sub #### Securise la connexion ssl start_tls tls_cacertfile /etc/ssl/openldap/ldap.pem tls_checkpeer yes Mes fichiers Pam.d : cat system-auth #%PAM-1.0 auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth sufficient /lib/security/pam_ldap.so use_first_pass auth required /lib/security/pam_deny.so account required /lib/security/pam_unix.so account sufficient /lib/security/pam_localuser.so account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore authinfo_unavail=ignore] /lib/security/pam_ldap.so account required /lib/security/pam_deny.so password required /lib/security/pam_cracklib.so retry=3 minlen=2 dcredit=0 ucredit=0 password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow password sufficient /lib/security/pam_ldap.so password required /lib/security/pam_deny.so cat sshd #%PAM-1.0 auth required pam_listfile.so item=user sense=deny file=/etc/ssh/denyusers auth required pam_stack.so service=system-auth auth required pam_nologin.so auth sufficient pam_ldap.so account required pam_stack.so service=system-auth account sufficient pam_ldap.so password required pam_stack.so service=system-auth session required pam_stack.so service=system-auth session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so Quelqu'un aurait une idée ?
	00

13/03/2007, 19h45	#3
interpol Invité de passage Inscription : mars 2007 Messages : 5 Détails du profil Informations forums : Inscription : mars 2007 Messages : 5 Points : 3 Points : 3	Resolut mais reste encore des erreurs Merci de Julp de ta réponse, j'ai rectifié en mettant en commentaire l'URi dans /etc/ldap.conf Oui l'option UsePAM yes est bien matché, d'ailleur je me suis servis de ton site, pour monter mon serveur ldap ( Merci ). Maintenant le probleme est résolut, je crois en mettant ceci comme index de recherche dans slapd.conf : # Les attributs indexes index objectClass eq index cn,sn,uid,displayName pres,sub,eq index uidNumber,gidNumber eq index memberUid eq index uniqueMember eq J'ai plus aucune erreur dans /var/log/ldap/ldap.log Par contre a présent, j'ai cree un nouvelle user sous unix, realiser le migrationtools comme il faut, mais a present j'ai ca comme erreur dans auth.log: Mar 13 19:40:32 localhost sshd[15620]: pam_ldap: error trying to bind as user "uid=toto,ou=People,dc=dnsnms,dc=nms" (Invalid credentials) Mar 13 19:40:32 localhost sshd(pam_unix)[15620]: check pass; user unknown Mar 13 19:40:32 localhost sshd(pam_unix)[15620]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost Mar 13 19:40:34 localhost sshd[15618]: error: PAM: User not known to the underlying authentication module for toto from localhost Donc ton aide est tjrs la bienvenu
	00

14/03/2007, 10h42	#5
interpol Invité de passage Inscription : mars 2007 Messages : 5 Détails du profil Informations forums : Inscription : mars 2007 Messages : 5 Points : 3 Points : 3	Ca marche avec quelque erreur mais sa macrhe Salut Julp A vrai dire, j'ai modifier le mote de passe, car lors de l'import avec l'outil Migration, les mots de passe passe en {crypt}x, ce qui correspond pas au mot passe. Donc avec phpldapadmin, j'ai changé le mot de passe, et la sa mache, génial, hyper content. J'ai remis la securisation ssl et tls. Je vais affiner ma conf par rapport a ce que tu m'a dis ( Group/People ). Mille merci de ton aide, et si ta besoin d"info sur la conf Linux Mandriva pour l'ajouter a ton site ( qui ne parle que de Freebsd ), pas de soucis. Amicalement
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email