j'ai mis en place un controlleur LDAP, je me log sans soucis a partir d'un client windows.
Sous le client Linux j'ai installé les paquets libnss et libpam (configuré comme sur le serveur), modifié le fichier /etc/nsswitch.conf comme ceci :
passwd: compat ldap
group: compat ldap
shadow: compat ldap
hosts: files dns mdns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
et modifié les fichiers /etc/pam.d/common-auth, /etc/pam.d/common-password et /etc/pam.d/common-account en ajoutant cette option :
sufficient pam_ldap.so
et malgré ca, quand j'arrive pour me loguer sur le domaine, en mettant mon nom de user ldap, il me dit authentication failure"....le seul moment ou je peux me logguer sur le domaine c'est quand je suis root sur la machine locale, en faisant un "su mon_user_ldap" :(
savez vous d'ou cela pourrait il venir !?
Et autre soucis, qui a mon avis est lié a l'authentification linux :
j'ai mis une restriction d'acces sur le server web, en mettant ce fichier .htaccess :
AuthType Basic
AuthName "LDAP auth against user"
AuthLDAPEnabled on
AuthLDAPUrl ldap://127.0.0.1/dc=domain,dc=com
<LIMIT GET POST>
Require valid-user
et la PAREIL, il me demande mon pass/login, et le seul autorisé a acceder au contenu est mon user root !
Savez vous d'ou pourrait venir ce probleme, comment remedier a ca ?
Merci d'avance de votre aide. :)
# pas vraiment la reponse...
Posté par NeoX . Évalué à 1.
pour la 2e, je ne vois pas.
par contre je vais surveiller les reponses car ca m'interesse
pour le boulot on a un serveur de domain windows.
pour toi il semblerait que ce soit la meme machine.
a suivre donc.
[^] # Re: pas vraiment la reponse...
Posté par metabox . Évalué à 1.
une idée quelqu'un ??
# identification ldap
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
Comme on est obliger de modifier ces fichiers pour que le systeme connaisse son identité (commande id), il est absolument inutile de rajouter une ligne ldap dans pam, ou si cela est nécessaire, merci de me dire pourquoi car j'ai 20 machines qui fonctionne parfaitement sans ! Bref, pam c'est bien mais ce n'est pas encore suffisant, ce nsswitch traine encore...
Au niveau d'apache, cela n'a rien a voir. Apache tourne sous son identité propre et il n'y a aucun besoin que l'identification sous apache ai un quelconque rapport avec celle du système. Les deux problèmes sont donc dissociés à 100%. A mon avis, tu as une erreur dans ta configuration ldap au niveau d'apache.
Bon courage
[^] # Re: identification ldap
Posté par metabox . Évalué à 1.
# tentative de réponse
Posté par ultimat . Évalué à 1.
libpam-ldap libldap2 libnss-ldap
Après dans le fichier /etc/libnss-ldap.conf, je met un truc du genre :
host machin.exemple.org
base dc=exemple,dc=org
ldap_version 3
Dans le fichier /etc/pam_ldap.conf :
host machin.exemple.org
base dc=exemple,dc=org
ldap_version 3
pam_password md5
Si tu as nscd, eteind le pour faire les tests.
Toute ma doc est là : http://guim.info/article1.php si ca peut aider
[^] # Re: tentative de réponse
Posté par metabox . Évalué à 1.
Je pense que le probleme vient plus du serveur, vu que ca bug aussi au niveau d Apache...mais je ne vois pas du tout ou :(:( quelqu un aurait il une idée ???
[^] # Re: tentative de réponse
Posté par ultimat . Évalué à 1.
[^] # Re: tentative de réponse
Posté par metabox . Évalué à 1.
j'ai juste installer ldap+samba, sans rien modifier de spécial
[^] # Re: tentative de réponse
Posté par ultimat . Évalué à 1.
tu passes par smbpasswd ?
[^] # Re: tentative de réponse
Posté par metabox . Évalué à 1.
mais j'ai pu remarqué que mon user ROOT etait dans les classes d objets :
person (structural)
organizationalPerson (structural)
inetOrgPerson (structural)
sambaSamAcoount
posix Account
shadowAccount
et que mon user TEST_LDAP est dans ces classes la :
sambaSamAcoount
posix Account
shadowAccount
inetOrgPerson (structural)
cela pourrait t il etre la cause du soucis ? comment faire pour modifier ces valeurs a la mano?
[^] # Re: tentative de réponse
Posté par metabox . Évalué à 1.
donc concernant l'authentification du server WEB par l'annuaire LDAP, cela vient bien des OBJECTCLASS.
avec un user crée sous l'interface LAM, il met le user juste dans ces objectclass :
sambaSamAcoount
posix Account
shadowAccount
inetOrgPerson (structural)
avec un user crée avec SMBLDAP-USERADD, il me met direct dans ces objectclass suivantes, ce qui me permet de m'authentifier pour acceder au serveur web....
person (structural)
organizationalPerson (structural)
inetOrgPerson (structural)
sambaSamAcoount
posix Account
shadowAccount
Seriez vous comment faire pour ajouter direct ces objectclass lors de la création d'un user avec LAM !?
et je n'ai toujours pas réglé mon soucis à partir d'un client linux....si quelqu'un a une idée..
[^] # Re: tentative de réponse
Posté par ultimat . Évalué à 2.
Verifie que dans la base ldap le login de l'utilisateur est dans l'attributs nommé "uid" et son mot de passe dans "userPassword". S'il manque un des 2 attributs, ce sera mauvais signe.
Sinon j'ai pas vraiment d'autres idées.
[^] # Re: tentative de réponse
Posté par metabox . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.