Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2017-03-01 13:00:00

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

LDAP Klient debian

Witam. Potrzebuję pomocy w instalacji i konfiguracji klienta LDAP dla debiana 8.7
postępuję zgodnie z toturialem i nie mam efektu.
[url]https://www.digitalocean.com/community/tutorials/how-to-authenticate-client-computers-using-ldap-on-an-ubuntu-12-04-vps[/url]
Sam poradnik działa dla maszyn opartych na Ubuntu 16.10 a z w/w debianem jest problem. Porszę o podpowiedzi gdzie szukać

Offline

 

#2  2017-03-01 17:34:33

  Pakos - Członek DUG

Pakos
Członek DUG
Zarejestrowany: 2007-06-12
Serwis

Re: LDAP Klient debian

a w ktorym momencie jest problem?

Offline

 

#3  2017-03-01 19:51:00

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

Re: LDAP Klient debian

W ogóle nie łączy się z serwerem LDAP choć telnetem na porcie 389 maszyny się widzą. Przy próbie logowania się z użyciem ldap w logach widać komunikat invalid user
I sam serwer działa poprawnie gdyż maszyna z ubuntu loguje bez problemu userów.
Maszyna na debianie jest całkowicie czyta postawiona do testów tak by ewentualny konfig zastowować później w docelowych maszynach.

Offline

 

#4  2017-03-01 20:17:48

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: LDAP Klient debian

LDAP? masz tam autoryzację w Windows Serwer, że potrzebujesz LDAP?

Jeżeli nie, a konfigurujesz same Linuxy, to lepszy będzie FreeRadius z Mysql na serwerze, do tego [url=http://freeradius.org/pam_radius_auth/]pam_radius[/url] na maszynach klienckich i gotowe, 20 razy prostsze
i pewniejsze rozwiązanie.

Ostatnio edytowany przez Jacekalex (2017-03-01 20:18:02)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2017-03-02 09:29:43

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

Re: LDAP Klient debian

Jacekalex faktycznie są to same maszyny na linux. Szukałem fakt być może nieco pobieżnie  ale nie widzę gdzie i jak dodawać użytkowników i ewentualnie gdzie wskazać klientowi, że ma autoryzować się przez freeradius

Offline

 

#6  2017-03-02 17:46:33

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: LDAP Klient debian

Serwer radiusa ([b]freeradius[/b]) na jednym kompie,
do tego otwarty na firewallu port, na których słucha radius, na reszcie kompów autoryzacja z wykorzystaniem biblioteki pam_radius, w Debianie paczka nazywa się:
[b]libpam-radius-auth[/b]

Konfiguracja serwera jest prostsza, aniżeli LDAPa, choć to jest troszkę zabawy,
a konfiguracja klienta pam-radius to sprawa banalna:

http://freeradius.org/pam_radius_auth/pam_radius_auth.conf

Przykład autoryzacji radius z użyciem radtest:

Kod:

Sending Access-Request of id 230 to 127.0.0.1 port 1815
    User-Name = "test"
    CHAP-Password = 0xe64012f6196b53698c9c2df6cb6eb669dd
    NAS-IP-Address = 127.0.0.1
    NAS-Port = 0
    Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1815, id=230, length=5
    Framed-IP-Address = 192.168.2.229
    Framed-IP-Netmask = 255.255.255.0
    Freeswitch-Context = "default"
    Freeswitch-AVPair = "account=tester"

Radius też współpracuje z hostapd i większością routerów, co otwiera możliwość łatwej autoryzacji wifi dla np laptopów, cegłofonów i tabletów.

Ostatnio edytowany przez Jacekalex (2017-03-02 17:50:31)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2017-03-03 11:33:22

  jac - Użytkownik

jac
Użytkownik
Skąd: Kraków
Zarejestrowany: 2013-05-30

Re: LDAP Klient debian

Ta instrukcja jest przeznaczona pod Ubuntu, dla Debiana może to wyglądać troszkę inaczej. Komunikat "invalid user" wskazuje na problemy z autentykacją. Na początek sprawdziłbym czy w zależnościach zainstalował się pakiet libnss-ldap, jeśli nie to napewno należy go doinstalować (podczas instalacji powinien uruchomić się konfigurator, podobny do tego co przy instalacji libpam-ldap).

Ostatnio edytowany przez jac (2017-03-03 11:45:02)

Offline

 

#8  2017-03-03 13:40:56

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

Re: LDAP Klient debian

efekt mam taki, że w momencie skonfigurowania klienta LDAP na maszynie terowej z poradnika
http://www.itzgeek.com/how-tos/linux/ubuntu-how-tos/configure-ldap-client-on-ubuntu-16-04-debian-8.html
wszystko poszło od strzału.
Ta sama konfiguracja na docelowej maszynie i jest  cessing: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax
Jedyna różnica z maszynątestową a docelową jest taka, że w docelowej jest csf na którym odblowowałem port 389
jakieś pomysły ?

Offline

 

#9  2017-03-03 21:20:12

  jac - Użytkownik

jac
Użytkownik
Skąd: Kraków
Zarejestrowany: 2013-05-30

Re: LDAP Klient debian

Jeśli na jednej maszynie działa a na innej nie działa, to porównałbym pliki konfiguracyjne na obu maszynach: /etc/ldap/ldap.conf /etc/pam_ldap.conf, , /etc/libnss-ldap.conf, /etc/nsswitch.conf, /etc/pam.d/*.

Offline

 

#10  2017-03-09 14:02:33

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

Re: LDAP Klient debian

jac wszystko identycznie
w logach /var/log/auth.log mam tak:

Kod:

Mar  9 10:21:51 test-syslog1 nscd: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax
Mar  9 10:21:51 test-syslog1 sshd[31447]: Invalid user ttest from 10.12.14.84
Mar  9 10:21:51 test-syslog1 sshd[31447]: input_userauth_request: invalid user ttest [preauth]
Mar  9 10:22:09 test-syslog1 sshd[31447]: pam_unix(sshd:auth): check pass; user unknown
Mar  9 10:22:09 test-syslog1 sshd[31447]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.12.14.84
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: logging debug info
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: allowing from localhost
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: allowing from 127.0.0.1/255.0.0.0
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: done reading config file, 0 errors
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: user ttest
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: remotehost 10.12.14.84
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: missing DNS entry for 10.12.14.84 (allowed)
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: remoteip 10.12.14.84
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: 1 times from 10.12.14.84
Mar  9 10:22:09 test-syslog1 sshd[31447]: pam_ldap: error trying to bind as user "cn=Test Test,cn=sudo,cn=admin,dc=test,dc=pl" (Invalid credentials)
Mar  9 10:22:10 test-syslog1 sshd[31447]: Failed password for invalid user ttest from 10.12.14.84 port 60614 ssh2
Mar  9 10:22:19 test-syslog1 cessing: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax
Mar  9 10:23:06 test-syslog1 sshd[31447]: Connection closed by 10.12.14.84 [preauth]
Mar  9 10:23:19 test-syslog1 cessing: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax

wyłączony firewal(csf) na bu maszynach (kient & serwer) i kaszana

Ostatnio edytowany przez Mruwasek (2017-03-09 14:07:32)

Offline

 

#11  2017-03-15 14:40:36

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

Re: LDAP Klient debian

Ok sprawa opanowana. Problem jest tym razem z użytkownikiem kiedy ma wymuszaną zmianę hasła po zalogowaniu się i ponownym podaniu (starego) hasła rozłącza sesje z informacją:

Kod:

authentication token manipulation error

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.012 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00006 SET NAMES latin2
0.00124 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.128.31.194' WHERE u.id=1
0.00076 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.128.31.194', 1730442409)
0.00069 SELECT * FROM punbb_online WHERE logged<1730442109
0.00098 SELECT topic_id FROM punbb_posts WHERE id=309072
0.00012 SELECT id FROM punbb_posts WHERE topic_id=29401 ORDER BY posted
0.00076 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29401 AND t.moved_to IS NULL
0.00007 SELECT search_for, replace_with FROM punbb_censoring
0.00290 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29401 ORDER BY p.id LIMIT 0,25
0.00113 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29401
Total query time: 0.00883 s