Authentification ldap - shadowMax [Résolu]

crenaze · 13/06/2007, 11h56

Bonjour,

J'ai mis en place une authentification ldap qui marche sans probleme à l'exception de l'expiration des mots de passes.

Voici un des utilisateurs :
dn: uid=test,ou=Users,dc=xxxx
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: test
uid: test
uidNumber: 10022
gidNumber: 10003
userPassword:: xxxxx
shadowLastChange: 0
shadowMin: 2
shadowMax: 90
shadowWarning: 7
shadowInactive: -1
shadowExpire: -1
shadowFlag: 0
homeDirectory: /users/test
loginShell: /bin/bash
gecos: test
description: test

Ici je positionne shadowLastChange à 0 pour forcer l'état à expiré. Mais lorsque d'ouvrir une connexion ssh avec le user test, il se connecte sans tenir compte de l'expiration.

J'ai fait un test en mettant shadowExpire à 0, et là j'ai bien un message m'indiquant que mon compte est expiré.

Lorsque je modifie le mot de passe en utilisant passwd shadowLastChange est bien mis à jour. Il y a t'il qualque chose que j'aurai oublié?

Voici mon fichier pam.d/sshd
#%PAM-1.0
auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users
onerr=fail
auth sufficient pam_ldap.so
auth required pam_unix.so use_first_pass
auth required pam_tally.so no_magic_root
account sufficient /lib/security/pam_ldap.so
account required pam_unix.so
account required pam_tally.so reset no_magic_root per_user
password required pam_cracklib.so
password sufficient pam_unix.so shadow nullok use_authtok
password required pam_ldap.so use_first_pass
session sufficient pam_ldap.so
session required pam_unix.so

/etc/nsswitch.conf
passwd: files ldap
shadow: files ldap
group: files ldap

hosts: files dns

bootparams: files
ethers: files
netmasks: files
networks: files
protocols: files ldap
rpc: files
services: files ldap
netgroup: files ldap
publickey: files
automount: files ldap
aliases: files

/etc/ldap.conf
timelimit 120
bind_timelimit 120
idle_timelimit 3600

HOST xxx
BASE dc=xxx
ssl no
pam_password md5

nss_base_passwd ou=Users,dc=xxxx
nss_base_shadow ou=Users,dc=xxxx
nss_base_group ou=Groups,dc=xxx

Je ne comprend pas pourquoi shadowMax n'est pas pris en compte alors que shadowExpire l'est.

Quelqu'un aurrait il une réponse?

merci d'avance

crenaze · 13/06/2007, 14h09

C'était un pb d'acces aux attributs.
J'ai modifié la configuration du démon ldap (slapd.conf) et celà fonctionnent bien pour ssh maintenant.

13/06/2007, 11h56	#1
crenaze Invité de passage Inscription : janvier 2007 Messages : 4 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 4 Points : 2 Points : 2	Authentification ldap - shadowMax Bonjour, J'ai mis en place une authentification ldap qui marche sans probleme à l'exception de l'expiration des mots de passes. Voici un des utilisateurs : dn: uid=test,ou=Users,dc=xxxx objectClass: account objectClass: posixAccount objectClass: shadowAccount cn: test uid: test uidNumber: 10022 gidNumber: 10003 userPassword:: xxxxx shadowLastChange: 0 shadowMin: 2 shadowMax: 90 shadowWarning: 7 shadowInactive: -1 shadowExpire: -1 shadowFlag: 0 homeDirectory: /users/test loginShell: /bin/bash gecos: test description: test Ici je positionne shadowLastChange à 0 pour forcer l'état à expiré. Mais lorsque d'ouvrir une connexion ssh avec le user test, il se connecte sans tenir compte de l'expiration. J'ai fait un test en mettant shadowExpire à 0, et là j'ai bien un message m'indiquant que mon compte est expiré. Lorsque je modifie le mot de passe en utilisant passwd shadowLastChange est bien mis à jour. Il y a t'il qualque chose que j'aurai oublié? Voici mon fichier pam.d/sshd #%PAM-1.0 auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail auth sufficient pam_ldap.so auth required pam_unix.so use_first_pass auth required pam_tally.so no_magic_root account sufficient /lib/security/pam_ldap.so account required pam_unix.so account required pam_tally.so reset no_magic_root per_user password required pam_cracklib.so password sufficient pam_unix.so shadow nullok use_authtok password required pam_ldap.so use_first_pass session sufficient pam_ldap.so session required pam_unix.so /etc/nsswitch.conf passwd: files ldap shadow: files ldap group: files ldap hosts: files dns bootparams: files ethers: files netmasks: files networks: files protocols: files ldap rpc: files services: files ldap netgroup: files ldap publickey: files automount: files ldap aliases: files /etc/ldap.conf timelimit 120 bind_timelimit 120 idle_timelimit 3600 HOST xxx BASE dc=xxx ssl no pam_password md5 nss_base_passwd ou=Users,dc=xxxx nss_base_shadow ou=Users,dc=xxxx nss_base_group ou=Groups,dc=xxx Je ne comprend pas pourquoi shadowMax n'est pas pris en compte alors que shadowExpire l'est. Quelqu'un aurrait il une réponse? merci d'avance
	00

13/06/2007, 14h09	#2
crenaze Invité de passage Inscription : janvier 2007 Messages : 4 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 4 Points : 2 Points : 2	C'était un pb d'acces aux attributs. J'ai modifié la configuration du démon ldap (slapd.conf) et celà fonctionnent bien pour ssh maintenant.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email