Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam. Potrzebuję pomocy w instalacji i konfiguracji klienta LDAP dla debiana 8.7
postępuję zgodnie z toturialem i nie mam efektu.
[url]https://www.digitalocean.com/community/tutorials/how-to-authenticate-client-computers-using-ldap-on-an-ubuntu-12-04-vps[/url]
Sam poradnik działa dla maszyn opartych na Ubuntu 16.10 a z w/w debianem jest problem. Porszę o podpowiedzi gdzie szukać
Offline
W ogóle nie łączy się z serwerem LDAP choć telnetem na porcie 389 maszyny się widzą. Przy próbie logowania się z użyciem ldap w logach widać komunikat invalid user
I sam serwer działa poprawnie gdyż maszyna z ubuntu loguje bez problemu userów.
Maszyna na debianie jest całkowicie czyta postawiona do testów tak by ewentualny konfig zastowować później w docelowych maszynach.
Offline
LDAP? masz tam autoryzację w Windows Serwer, że potrzebujesz LDAP?
Jeżeli nie, a konfigurujesz same Linuxy, to lepszy będzie FreeRadius z Mysql na serwerze, do tego [url=http://freeradius.org/pam_radius_auth/]pam_radius[/url] na maszynach klienckich i gotowe, 20 razy prostsze
i pewniejsze rozwiązanie.
Ostatnio edytowany przez Jacekalex (2017-03-01 20:18:02)
Offline
Jacekalex faktycznie są to same maszyny na linux. Szukałem fakt być może nieco pobieżnie ale nie widzę gdzie i jak dodawać użytkowników i ewentualnie gdzie wskazać klientowi, że ma autoryzować się przez freeradius
Offline
Serwer radiusa ([b]freeradius[/b]) na jednym kompie,
do tego otwarty na firewallu port, na których słucha radius, na reszcie kompów autoryzacja z wykorzystaniem biblioteki pam_radius, w Debianie paczka nazywa się:
[b]libpam-radius-auth[/b]
Konfiguracja serwera jest prostsza, aniżeli LDAPa, choć to jest troszkę zabawy,
a konfiguracja klienta pam-radius to sprawa banalna:
http://freeradius.org/pam_radius_auth/pam_radius_auth.conf
Przykład autoryzacji radius z użyciem radtest:
Sending Access-Request of id 230 to 127.0.0.1 port 1815 User-Name = "test" CHAP-Password = 0xe64012f6196b53698c9c2df6cb6eb669dd NAS-IP-Address = 127.0.0.1 NAS-Port = 0 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Accept packet from host 127.0.0.1 port 1815, id=230, length=5 Framed-IP-Address = 192.168.2.229 Framed-IP-Netmask = 255.255.255.0 Freeswitch-Context = "default" Freeswitch-AVPair = "account=tester"
Radius też współpracuje z hostapd i większością routerów, co otwiera możliwość łatwej autoryzacji wifi dla np laptopów, cegłofonów i tabletów.
Ostatnio edytowany przez Jacekalex (2017-03-02 17:50:31)
Offline
Ta instrukcja jest przeznaczona pod Ubuntu, dla Debiana może to wyglądać troszkę inaczej. Komunikat "invalid user" wskazuje na problemy z autentykacją. Na początek sprawdziłbym czy w zależnościach zainstalował się pakiet libnss-ldap, jeśli nie to napewno należy go doinstalować (podczas instalacji powinien uruchomić się konfigurator, podobny do tego co przy instalacji libpam-ldap).
Ostatnio edytowany przez jac (2017-03-03 11:45:02)
Offline
efekt mam taki, że w momencie skonfigurowania klienta LDAP na maszynie terowej z poradnika
http://www.itzgeek.com/how-tos/linux/ubuntu-how-tos/configure-ldap-client-on-ubuntu-16-04-debian-8.html
wszystko poszło od strzału.
Ta sama konfiguracja na docelowej maszynie i jest cessing: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax
Jedyna różnica z maszynątestową a docelową jest taka, że w docelowej jest csf na którym odblowowałem port 389
jakieś pomysły ?
Offline
Jeśli na jednej maszynie działa a na innej nie działa, to porównałbym pliki konfiguracyjne na obu maszynach: /etc/ldap/ldap.conf /etc/pam_ldap.conf, , /etc/libnss-ldap.conf, /etc/nsswitch.conf, /etc/pam.d/*.
Offline
jac wszystko identycznie
w logach /var/log/auth.log mam tak:
Mar 9 10:21:51 test-syslog1 nscd: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax Mar 9 10:21:51 test-syslog1 sshd[31447]: Invalid user ttest from 10.12.14.84 Mar 9 10:21:51 test-syslog1 sshd[31447]: input_userauth_request: invalid user ttest [preauth] Mar 9 10:22:09 test-syslog1 sshd[31447]: pam_unix(sshd:auth): check pass; user unknown Mar 9 10:22:09 test-syslog1 sshd[31447]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.12.14.84 Mar 9 10:22:09 test-syslog1 PAM-shield[31447]: logging debug info Mar 9 10:22:09 test-syslog1 PAM-shield[31447]: allowing from localhost Mar 9 10:22:09 test-syslog1 PAM-shield[31447]: allowing from 127.0.0.1/255.0.0.0 Mar 9 10:22:09 test-syslog1 PAM-shield[31447]: done reading config file, 0 errors Mar 9 10:22:09 test-syslog1 PAM-shield[31447]: user ttest Mar 9 10:22:09 test-syslog1 PAM-shield[31447]: remotehost 10.12.14.84 Mar 9 10:22:09 test-syslog1 PAM-shield[31447]: missing DNS entry for 10.12.14.84 (allowed) Mar 9 10:22:09 test-syslog1 PAM-shield[31447]: remoteip 10.12.14.84 Mar 9 10:22:09 test-syslog1 PAM-shield[31447]: 1 times from 10.12.14.84 Mar 9 10:22:09 test-syslog1 sshd[31447]: pam_ldap: error trying to bind as user "cn=Test Test,cn=sudo,cn=admin,dc=test,dc=pl" (Invalid credentials) Mar 9 10:22:10 test-syslog1 sshd[31447]: Failed password for invalid user ttest from 10.12.14.84 port 60614 ssh2 Mar 9 10:22:19 test-syslog1 cessing: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax Mar 9 10:23:06 test-syslog1 sshd[31447]: Connection closed by 10.12.14.84 [preauth] Mar 9 10:23:19 test-syslog1 cessing: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax
wyłączony firewal(csf) na bu maszynach (kient & serwer) i kaszana
Ostatnio edytowany przez Mruwasek (2017-03-09 14:07:32)
Offline
Ok sprawa opanowana. Problem jest tym razem z użytkownikiem kiedy ma wymuszaną zmianę hasła po zalogowaniu się i ponownym podaniu (starego) hasła rozłącza sesje z informacją:
authentication token manipulation error
Offline
Time (s) | Query |
---|---|
0.00015 | SET CHARSET latin2 |
0.00006 | SET NAMES latin2 |
0.00142 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.216.66.30' WHERE u.id=1 |
0.00066 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.216.66.30', 1730443242) |
0.00042 | SELECT * FROM punbb_online WHERE logged<1730442942 |
0.00067 | DELETE FROM punbb_online WHERE ident='185.191.171.11' |
0.00053 | DELETE FROM punbb_online WHERE ident='52.167.144.20' |
0.00053 | DELETE FROM punbb_online WHERE ident='85.208.96.202' |
0.00036 | SELECT topic_id FROM punbb_posts WHERE id=309064 |
0.00019 | SELECT id FROM punbb_posts WHERE topic_id=29401 ORDER BY posted |
0.00060 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29401 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00094 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29401 ORDER BY p.id LIMIT 0,25 |
0.00115 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29401 |
Total query time: 0.00773 s |