Probleme OpenLDAP sur Fedora Core 6

Toeic · 29/06/2007, 16h25

Bonjour,

je tente d'installer un serveur LDAP sur une Fedora Core 6 comme precise dans le sujet, mais je n'arrive pas a m'authentifier sur ce meme serveur depuis une machine de test vers une autre. Je joins mes fichiers de config, si quelqu'un avait une idee de la provenance du probleme, j'apprecierai un peu d'aide, je deviens chevre la...

machine 1: serveur00, IP: 192.168.100.93/24
machine 2: test00, IP: 192.168.100.95/24
machine 3: test01, 192.168.100.92/24

sur serveur00:
/etc/openldap/slapd.conf:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
 
pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args
 
access to *
    by dn="cn=Manager,dc=boe,dc=lab" write
    by self write
    by * read
 
database        bdb
suffix          "dc=boe,dc=lab"
rootdn          "cn=Manager,dc=boe,dc=lab"
 
#le mdp a ete fait avec "slpapasswd -h {MD5} -s xxxx"
rootpw          {MD5}vtEoNlIWwBmYiRXtOt11+w==
 
directory       /var/lib/ldap
 
index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub

sur test00:
/etc/nsswitch.conf:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
passwd:     files ldap
shadow:     files ldap
group:      files ldap
hosts:      files dns
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files
netgroup:   nisplus
publickey:  nisplus
automount:  files nisplus
aliases:    files nisplus

/etc/ldap.conf: (link avec /etc/openldap/ldap.conf)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
host 192.168.100.93
base dc=boe,dc=lab
uri ldap://192.168.100.93/
uri ldaps://192.168.100.93/
ldap_version 3
rootbinddn cn=Manager,dc=boe,dc=lab
 
timelimit 120
bind_timelimit 120
 
bind_policy soft
pam_password MD5
 
nss_base_passwd         ou=people,dc=boe,dc=lab?one
nss_base_shadow         ou=people,dc=boe,dc=lab?one
nss_base_group          ou=groups,dc=boe,dc=lab?one

/etc/pam.d/system-auth: (sshd inclus system-auth dans pam.d)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so
 
account     required      pam_unix.so
account     sufficient    pam_ldap.so
 
password    required     pam_cracklib.so retry=3 minlen=2 dcredit=0 ucredit=0
password    sufficient   pam_unix.so md5 shadow use_authtok
password    sufficient   pam_ldap.so
password    required     pam_deny.so
 
session     required     pam_limits.so
session     required     pam_unix.so
session     optional     pam_ldap.so

/etc/ssh/sshd_config:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
Protocol 2
PubkeyAuthentication no
#AuthorizedKeysFile     .ssh/authorized_keys
PasswordAuthentication no
ChallengeResponseAuthentication yes
GSSAPIAuthentication no
GSSAPICleanupCredentials yes
UsePAM yes

je tente de me logger avec une user "testuser" ajouter dans l'annuaire sans problemes

user.ldif:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
dn: cn=testgroup,ou=groups,dc=boe,dc=lab
objectClass: top
objectClass: posixGroup
cn: testgroup
gidNumber: 1000
description: testgroup
 
dn: cn=testuser,ou=people,dc=boe,dc=lab
objectClass: top
objectClass: account
objectClass: posixAccount
cn: testuser
gecos: Test User
uid: testuser
uidNumber: 1001
gidNumber: 1000
homeDirectory: /home/testuser/
userPassword: {MD5}vtEoNlIWwBmYiRXtOt11+w==
loginShell: /bin/sh
description: testuser

voila les resultat d'une requete depuis le machine 3 vers le serveur LDAP:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
[toeic@test01 ~]$ ldapsearch -xh 192.168.100.93 -b dc=boe,dc=lab "(objectClass=posixAccount)" cn
# extended LDIF
#
# LDAPv3
# base <dc=boe,dc=lab> with scope subtree
# filter: (objectClass=posixAccount)
# requesting: cn
#
 
# testuser, people, boe.lab
dn: cn=testuser,ou=people,dc=boe,dc=lab
cn: testuser
 
# search result
search: 2
result: 0 Success
 
# numResponses: 2
# numEntries: 1

les firewalls des machines 1 et 2 (serveur00 et test00) acceptent tout en entree et en sortie, pour le moment, je me contente d'essayer de faire fonctionner l'authentification avant de securiser.

je copie egalement l'erreur faite par ssh quand je tente de me logger de test01 vers test00:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
[toeic@test01 ~]$ ssh testuser@192.168.100.95
Password:
Password:
Password:
Permission denied (keyboard-interactive).

si besoin, je peux mettre les logs de "ssh testuser@192.168.100.95 -v"

pourtant quand je tente de me connecter en ssh d'une machine a l'autre, je vois bien les logs du serveur ldap qui s'activent (slapd -d 1), ce qui aurait tendance a prouver que le serveur est contacte, mias je n'arrive pas a voir ce qui ne fonctionne pas...

si quelqu'un etait en mesure de m'aider, ca serait genial, parce que je ne vois plus quoi faire la, apres avoir tente plusieurs tutoriaux differents.
Merci d'avance,
Toeic

julp · 29/06/2007, 16h53

Citation:

Envoyé par Toeic

pourtant quand je tente de me connecter en ssh d'une machine a l'autre, je vois bien les logs du serveur ldap qui s'activent (slapd -d 1), ce qui aurait tendance a prouver que le serveur est contacte, mias je n'arrive pas a voir ce qui ne fonctionne pas...

S'y connecter est une chose, il faut ensuite savoir si l'étape de bind passe (l'authentification). Vous ne faites notamment pas mention du fichier /etc/ldap.secret car il faut bien que le mot de passe associé au compte rootbinddn soit connu.

Avez-vous fait d'autres essais (comme la commande id testuser, par exemple), pour savoir si le lien système/annuaire fonctionnait d'une autre manière ?

La valeur de débogage 1 est plutôt limitée, -1 étant le maximum (voir la documentation pour plus de détails).

Toeic · 02/07/2007, 09h48

bonjour,
merci de votre reponse. Comme commande autre que "ldapsearch", j'avais deja teste la commande "getent passwd" qui fonctionne et me renvoie les informations en relation avec l'annuaire. J'ai egalement teste "id testuser" qui me renvoie les informations relatives au testuser.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
[toeic@test00 ~]$ id testuser
uid=1001(testuser) gid=1000(testgroup) groups=1000(testgroup)
[toeic@test00 ~]$ getent passwd
testuser:*:1001:1000:Test User:/home/testuser/:/bin/sh

je relance mes tests avec le debug mode -1 et tente de voir ce qui se passe
merci
Toeic

P.S.: mon mot de passe rootdn est ajoute dans le fichier /etc/ldap.secret sur test00 (la machine sur laquelle je tente de me connecter) (en clair pour le moment, j'essaye d'y arriver sans crypto)

julp · 02/07/2007, 11h54

Citation:

Envoyé par Toeic

P.S.: mon mot de passe rootdn est ajoute dans le fichier /etc/ldap.secret sur test00 (la machine sur laquelle je tente de me connecter) (en clair pour le moment, j'essaye d'y arriver sans crypto)

Vous ne pourrez pas le chiffrer de toute manière, il doit être lisible pour être utilisé par le "système".

Le problème se situe donc dans la configuration de PAM ou de SSH. D'ailleurs ce qui m'étonne c'est :

Citation:

PasswordAuthentication no

Toeic · 02/07/2007, 14h48

Citation:

Envoyé par julp

Le problème se situe donc dans la configuration de PAM ou de SSH.

concernant le "PasswordAuthentication no", je suis tombe la dessus:
" Mettez cette option à 'no' pour forcer SSH à utiliser le mécanisme des clés lors du login. Cela pourrait géner les utilisateurs qui se connectent fréquemment à partir de machines différentes mais c'est une grosse amélioration de la sécurité puisque l'authentification basée sur les mots de passe est considérée faible.",

c'est donc pourquoi je l'avais configure a "no". Je l'ai remis a "yes" et ai refait les tests, mais ca ne change rien au resultat, il continue de me demander le password sans pouvoir m'authentifier.

desole de coller les logs derriere, mais j'ai pas acces a un ftp pour mettre le fichier sur un espace perso depuis le boulot, j'essaierai de le coller en entier en retrant chez moi ce soir.
la trace que j'ai colle la represente ce qu'il se passe entre les deux "password"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
[root@test00 ~]# ssh testuser@192.168.100.95
Password:
Password:

log.txt

trace presque complete (slapd -d -1 1>/home/toeic/log.txt 2>&1)

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email