Sie sind nicht angemeldet.

Ubuntu-6.10 als LDAP-Client

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

pixel

User

  • »pixel« ist der Autor dieses Themas

Beiträge: 32

Registrierungsdatum: 29.10.2006

  • Nachricht senden

1

06.11.2006, 17:10

Ubuntu-6.10 als LDAP-Client

Hallo zusammen,

ich schaffe es nicht das o.g. Ubuntu als LDAP-Client zu konfigurieren. Ich habe im Forum zwar einige Beiträge gefunden aber die führten zu keinem Erfolg. Ein paralle laufender SuSE-Client meldet sich ohne Probleme am Server an beim Ubuntu-Client bekomme ich immer nur:

Quellcode

 
1

nss_ldap: faild to bind to LDAP server ldap://192.168.0.1: Can't contact LDAP Server


Ich weiß man soll die Systeme nicht immer in Vergleich stellen aber unter SuSE gebe ich den Server an und die Base-DN und das war's. Ok ok, SuSE hat dafür ganz andere Probleme aber kann mir jemand sagen was ich tun muß damit das unter Ubuntu auch funktioniert?

Viele Grüße
pixel

Lodur

User

Beiträge: 1 019

  • Nachricht senden

2

06.11.2006, 19:08

RE: Ubuntu-6.10 als LDAP-Client

Wo hat du denn den LDAP-Server eingetragen?
Im Gegensatz zu SuSE besitzt Ubuntu getrennte LDAP-Configfiles für nss und pam:
/etc/libnss-ldap.conf und /etc/pam_ldap.conf
Bei dir sollte es reichen, wenn beide den selben Inhalt haben, also dein LDAP-Server und Base-DN.

pixel

User

  • »pixel« ist der Autor dieses Themas

Beiträge: 32

Registrierungsdatum: 29.10.2006

  • Nachricht senden

3

06.11.2006, 20:39

RE: Ubuntu-6.10 als LDAP-Client

Zitat

Original von Lodur
Wo hat du denn den LDAP-Server eingetragen?


Zunächst einmal habe ich die beiden Pakete:

- libpam-ldap
- libnss-ldap

mit:

apt-get install libpam-ldap libnss-ldap

installiert. Dabei habe ich die Fragen wie folgt beantwortet:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

*** [Konfiguriere libnss-ldap] ***

LDAP Server host:
192.168.0.1

The distinguished name of the search base:
dc=dreampixel

LDAP version to use:
3

LDAP account for root:
cn=administrator,dc=dreampixel

LDAP root account password:
[wie_immer_geheim]


*** [/Konfiguriere libnss-ldap] ***


*** [Konfiguriere libpam-ldap] ***

Make local root Database admin:
Ja

Database requires logging in:
Nein

Root login account:
cn=administrator,dc=dreampixel

Root login password:
[immer_noch_geheim]

*** [/Konfiguriere libpam-ldap] ***



Die Installation des Pakets 'libnss-ldap' wurde mit dem Hinweis abgeschlossen:

Zitat

nsswitch.conf wird nicht automatisch verwaltet
Damit dieses Paket arbeitet, müssen Sie Ihre Datei /etc/nsswitch.conf für die ldap-Datenquelle anpassen.
Es gibt eine Beispieldatei unter /usr/share/doc/libnss-ldap/examples/nsswitch.ldap, die als Beispiel für Ihr
nsswitch-Setup verwendet kann oder mit der Ihr aktuelles Setup überschrieben werden kann.
Darüberhinaus ist es klug, die ldap-Einträge aus der nsswitch.conf zu löschen, bevor Sie dieses Paket entfernen,
um die Funktion der Grunddienste zu erhalten.


Da in der Datei /etc/nsswitch die LDAP-Einträge gefehlt haben habe ich die Beispiel-Datei aus /usr/share/doc/libnss-ldap/examples/nsswitch.ldap benutzt welche wie folgt aussieht:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

# the following two lines obviate the "+" entry in /etc/passwd and /etc/group.
passwd:         files ldap
group:          files ldap

# LDAP is nominally authoritative for the following maps.
services:   ldap [NOTFOUND=return] files
networks:   ldap [NOTFOUND=return] files
protocols:  ldap [NOTFOUND=return] files
rpc:        ldap [NOTFOUND=return] files
ethers:     ldap [NOTFOUND=return] files

# no support for netmasks, bootparams, publickey yet.
netmasks:   files
bootparams: files
publickey:  files
automount:  files

# I'm pretty sure nsswitch.conf is consulted directly by sendmail,
# here, so we can't do much here. Instead, use bbense's LDAP
# rules ofr sendmail.
aliases:    files
sendmailvars:   files

# Note: there is no support for netgroups on Solaris (yet)
netgroup:   ldap [NOTFOUND=return] files


Die Datei /etc/libnss-ldap.conf habe ich wie folgt editiert:

Quellcode

 
1
2
3
4
5
6
7
8

host 192.168.0.1

# The distinguished name of the search base.
base dc=dreampixel

ldap_version 3

rootbinddn cn=administrator,dc=dreampixel


Die Datei pam_ldap.conf hat exakt den gleichen Inhalt wie die ibnss-ldap.conf.

Was habe ich falsch gemacht?

Viele Grüße
pixel

Lodur

User

Beiträge: 1 019

  • Nachricht senden

4

06.11.2006, 20:45

Nach welcher Aktion kommt denn die obigen Fehlermeldung?
Was passiert, wenn du "getent passwd" in einem Terminal eingibst.

pixel

User

  • »pixel« ist der Autor dieses Themas

Beiträge: 32

Registrierungsdatum: 29.10.2006

  • Nachricht senden

5

06.11.2006, 20:59

Zitat

Original von Lodur
Nach welcher Aktion kommt denn die obigen Fehlermeldung?


Die kommt schon wenn ich die Konfiguration wie beschrieben durchführe und anschließend versuche su oder kdesu zu benutzen. Versuche ich das System neu zu starten bleibt er auf der Konsole hängen und meldet den gleichen Fehler. Der Rechner bootet nicht mehr

Zitat

Original von LodurWas passiert, wenn du "getent passwd" in einem Terminal eingibst.

Hmm, seltsam hier bekomme ich:

Quellcode

 
1
2
3
4
5
6
7
8
9

...
join-backup:x:2003:5008:Joinuser:/dev/null:/bin/bash
join-slave:x:2004:5009:Joinuser:/dev/null:/bin/bash
Administrator:x:2006:5000:Administrator:/home/Administrator:/bin/bash
sven:x:2007:5014:Sven Gehr:/home/sven:/bin/bash
simone:x:2008:5014:Simone Körber:/home/simone:/bin/bash
office:x:2014:5014:Office User:/home/office:/bin/false
mailingliste:x:2015:5014:Mailinglisten User:/home/mailingliste:/bin/false
poseidon$:x:2018:5007:poseidon:/dev/null:/bin/sh


das sind meine LDAP-User. Wenn ich ein 'su sven' in der Konsole eingebe gibt's im Logfile:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12

Nov  6 20:55:42 poseidon su[6209]: nss_ldap: failed to bind to LDAP server ldap://192.168.0.1: Invalid credentials
Nov  6 20:55:42 poseidon su[6209]: nss_ldap: reconnecting to LDAP server (sleeping 8 seconds)...
Nov  6 20:55:50 poseidon su[6209]: nss_ldap: failed to bind to LDAP server ldap://192.168.0.1: Invalid credentials
Nov  6 20:55:50 poseidon su[6209]: nss_ldap: reconnecting to LDAP server (sleeping 16 seconds)...
Nov  6 20:56:06 poseidon su[6209]: nss_ldap: failed to bind to LDAP server ldap://192.168.0.1: Invalid credentials
Nov  6 20:56:06 poseidon su[6209]: nss_ldap: reconnecting to LDAP server (sleeping 32 seconds)...
Nov  6 20:56:25 poseidon adept_updater: nss_ldap: failed to bind to LDAP server ldap://192.168.0.1: Invalid credentials
Nov  6 20:56:25 poseidon adept_updater: nss_ldap: could not search LDAP server - Server is unavailable
Nov  6 20:56:38 poseidon su[6209]: nss_ldap: failed to bind to LDAP server ldap://192.168.0.1: Invalid credentials
Nov  6 20:56:38 poseidon su[6209]: nss_ldap: reconnecting to LDAP server (sleeping 64 seconds)...
Nov  6 20:57:42 poseidon su[6209]: nss_ldap: failed to bind to LDAP server ldap://192.168.0.1: Invalid credentials
Nov  6 20:57:42 poseidon su[6209]: nss_ldap: could not search LDAP server - Server is unavailable


Un nach einer Weile auf der Konsole auf welcher ich den Befehl eingegen habe ein 'Unknown id: sven'

Lodur

User

Beiträge: 1 019

  • Nachricht senden

6

06.11.2006, 21:16

Zitat

Quellcode

 
1

rootbinddn cn=administrator,dc=dreampixel

Lösch mal diese Zeile aus /etc/libnss-ldap.conf und /etc/pam_ldap.conf
Die brauchst du erstmal nicht. Einloggen muß auch so gehen.

pixel

User

  • »pixel« ist der Autor dieses Themas

Beiträge: 32

Registrierungsdatum: 29.10.2006

  • Nachricht senden

7

06.11.2006, 21:33

ok, habe ich in beiden Dateien auskommentiert. Habe dann totesmutig einen Rechnerneustart eingeleitet mit dem Ergebnis das er 5 Minuten lang den LDAP-Server sucht und dann aber doch bootet.

pixel

User

  • »pixel« ist der Autor dieses Themas

Beiträge: 32

Registrierungsdatum: 29.10.2006

  • Nachricht senden

8

09.11.2006, 13:10

ok, es handelt sich um einen Bug. Der Entwickler ist sich wohl aber unschlüssig ob der LDAP-Server falsche Antworten liefert oder es sich um einen Bug in libnss-ldap handelt. Das Problem scheint auch erst mit der Version 6.10 von (K)ubuntu auf zu treten. Mit dem Parameter:

bind_policy soft

funktioniert es dann doch. Auserdem ist die komplette Konfigurationsabfrage des Pakete libnss-ldap für'n Alerwertesten denn .... die abgefragten Parameter Host, base etc werden überhaupt nicht in die entsprechenden Dateien eingetragen.

Folgende Änderungen habe ich gemacht:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14

# /etc/nsswitch.conf
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       ldap


Quellcode

 
1
2
3
4

/etc/pam.d/common-account:

account sufficient      pam_ldap.so
account sufficient      pam_unix.so

Quellcode

 
1
2
3
4

/etc/pam.d/common-auth:

auth    sufficient      pam_ldap.so
auth    sufficient      pam_unix.so nullok_secure

Quellcode

 
1
2
3
4

/etc/pam.d/common-password

password   sufficient   pam_unix.so nullok obscure min=4 max=8 md5
password   sufficient   pam_ldap.so

Quellcode

 
1
2
3
4

/etc/pam.d/common-session

session sufficient      pam_ldap.so
session sufficient      pam_unix.so

So, danach fährt der Rechner wieder flott hoch und ohne X-System kann ich mich mit den LDAP-Usern anmelden. Funktioniert alles. Lediglich das X-System, respektive der Anmelde-Manager (KDM) und KDE selbst haben noch Probleme. Der Start von KDE dauert etwa 3 Minuten und es werden Fehler mit XSession... ausgegeben die ich aber erst heute Abend posten kann. Jemand eine ahnung woran das liegen könnte?

Viele Grüße
pixel

pixel

User

  • »pixel« ist der Autor dieses Themas

Beiträge: 32

Registrierungsdatum: 29.10.2006

  • Nachricht senden

9

10.11.2006, 21:41

So, die Anmeldung am LDAP-Server funktioniert nun soweit.

Das Problem ist dass das System nach der LDAP-Anbindung den LDAP-User keiner lokalen Gruppe mehr zuordnet. Demzufolge funktionieren einige Sachen nicht wie z.B. Sound da der User ja nicht mehr in der Gruppe audio ist.
SuSE regelt das wohl anders denn hier funktioniert das. Ich bindoch sicher nicht der erste der das macht. Wie habt ihr das gelöst?

Ich habe jetzt in einem schmutzigen Hack einfach den LDAP-User per Hand in die entsprechenden lokalen Gruppen in /etc/group eingetragen. In meinem kleinen Netz ist das noch machbar. Ich würde in der Firma aber auch gerne die SuSE-Clients durch Kubuntu ersetzen und da schreibe ich das bestimt nicht an jedem Client. Ich werde mal weiter suchen. Wenn jemand noch was einfällt, ich bin für jeden Tip dankbar.

Viele Grüße
pixel

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »pixel« (11.11.2006, 11:25)

Lodur

User

Beiträge: 1 019

  • Nachricht senden

10

11.11.2006, 16:21

Ich nehem an, daß SuSE einfach allen Usern Zugriff auf die Audio-Devices gestattet.
Was spricht dagegen, die Gruppe audio auf den Clients zu löschen und stattdessen eine Gruppe audio mit der selben gid auf dem LDAP-Server anzulegen und alle User zu dieser Gruppe hinzuzufügen?

pixel

User

  • »pixel« ist der Autor dieses Themas

Beiträge: 32

Registrierungsdatum: 29.10.2006

  • Nachricht senden

11

13.11.2006, 09:34

Zitat

Original von Lodur
Ich nehem an, daß SuSE einfach allen Usern Zugriff auf die Audio-Devices gestattet.

Ja und Nein, SuSE stattet den LDAP-User mit den gleichen Gruppenrechten aus die ein neu angelegter User auch bekommt.

Zitat

Original von LodurWas spricht dagegen, die Gruppe audio auf den Clients zu löschen und stattdessen eine Gruppe audio mit der selben gid auf dem LDAP-Server anzulegen und alle User zu dieser Gruppe hinzuzufügen?

Das wollte ich vor langer Zeit schon einmal machen. Damals scheiterte es daran das die GID's nicht immer gleich sind. Zumindest war das vor einiger Zeit bei SuSE noch so. Je nach dem welche Pakete man installiert hatte konnte es passieren das auf zwei unterschiedlichen Servern ein und die selbe GID durch unterschiedliche Dienste belegt war. Wie ist das bei (K)ubuntu, sind da die GID's immer fix?

Lodur

User

Beiträge: 1 019

  • Nachricht senden

12

13.11.2006, 14:00

Zitat

Je nach dem welche Pakete man installiert hatte konnte es passieren das auf zwei unterschiedlichen Servern ein und die selbe GID durch unterschiedliche Dienste belegt war. Wie ist das bei (K)ubuntu, sind da die GID's immer fix?
Davon gehe ich aus. Mir ist jedenfalls nicht bekannt, daß es anders ist.

pixel

User

  • »pixel« ist der Autor dieses Themas

Beiträge: 32

Registrierungsdatum: 29.10.2006

  • Nachricht senden

13

13.11.2006, 15:39

Dann werde ich das mal machen. Jetzt habe ich aber ein ganz anderes Problem. Sobald ich den Client an LDAP anbinde kann KMail keine Mails mehr versenden. Egal ob über den lokalen Kolab-Server oder direkt über einen ISP. KMail meldet immer:

Quellcode

 
1
2
3
4
5

Das Versenden ist fehlgeschlagen:
Authentifizierung fehlgeschlagen, An error occured during authentication: SASL(-4): no mechanism available: No worthy mechs found wird nicht unterstützt
Die Nachricht verbleibt im Postausgang, bis Sie entweder das Problem beseitigt haben (z. B. falsche Adresse) oder die Nachricht aus dem Postausgang entfernen.
Das folgende Transportprotokoll wurde benutzt:
Kolab-Server


Bindet man den Client nicht an LDAP an geht's. Hat jemand eine Idee woran das liegen könnte?