LDAP-Authentifizierung unter CentOS 7

11

Nach dem Upgrade auf CentOS 7 ist es nicht mehr möglich, sich über LDAP anzumelden. Mit CentOS 6 habe ich das Paket pam_ldap verwendet, das gut funktioniert hat, aber jetzt ist pam_ldap für die neue Version von CentOS nicht mehr verfügbar.

Die Verbindung über ldapsearch funktioniert immer noch einwandfrei , aber der Versuch, sich über ssh zu authentifizieren, funktioniert nicht.

Ich habe das Paket nss-pam-ldapd neu installiert und die Authentifizierung über authconfig-tui neu konfiguriert , aber es funktioniert immer noch nicht.

Unten ersetze ich meinen Benutzernamen durch user.name und die Basis durch dc = sub, dc = example, dc = org .

Mein Host-Betriebssystem ist ein CentOS 7. Alle derzeit verfügbaren Updates sind installiert.

$ uname -a
Linux isfet 3.10.0-123.8.1.el7.x86_64 #1 SMP Mon Sep 22 19:06:58 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

Installierte Pakete

$ rpm -qa | grep -i ldap
openldap-2.4.39-3.el7.x86_64
nss-pam-ldapd-0.8.13-8.el7.x86_64
openldap-clients-2.4.39-3.el7.x86_64

Inhalt von /etc/openldap/ldap.conf

URI ldap://172.16.64.25
BASE dc=sub,dc=example,dc=org

Inhalt von /etc/nslcd.conf

ldap_version 3
uri ldap://172.16.64.25
base dc=sub,dc=example,dc=org
ssl no

Ausgabe von / var / log / Secure

Oct  6 12:12:16 isfet sshd[3937]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=172.16.64.1  user=user.name
Oct  6 12:12:17 isfet sshd[3937]: Failed password for user.name from 172.16.64.1 port 18877 ssh2

Ausgabe von /var/log/audit/audit.log

type=USER_AUTH msg=audit(1412590243.286:364): pid=3912 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication acct="user.name" exe="/usr/sbin/sshd" hostname=172.16.64.1 addr=172.16.64.1 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1412590243.287:365): pid=3912 uid=0 auid=4294967295 ses=4294967295 msg='op=password acct="user.name" exe="/usr/sbin/sshd" hostname=? addr=172.16.64.1 terminal=ssh res=failed'

Ausgabe des Befehls ldapserach

$ ldapsearch -H ldap://172.16.64.25/ -D cn=Manager,dc=sub,dc=example,dc=org -W -x -b dc=sub,dc=example,dc=org -d1

ldap_url_parse_ext(ldap://172.16.64.25/)
ldap_create
ldap_url_parse_ext(ldap://172.16.64.25:389/??base)
Enter LDAP Password:
ldap_sasl_bind
ldap_send_initial_request
ldap_new_connection 1 1 0
ldap_int_open_connection
ldap_connect_to_host: TCP 172.16.64.25:389
ldap_new_socket: 3
ldap_prepare_socket: 3
ldap_connect_to_host: Trying 172.16.64.25:389
ldap_pvt_connect: fd: 3 tm: -1 async: 0
attempting to connect:
connect success
ldap_open_defconn: successful
ldap_send_server_request
ber_scanf fmt ({it) ber:
ber_scanf fmt ({i) ber:
ber_flush2: 61 bytes to sd 3
ldap_result ld 0x7f9b07402110 msgid 1
wait4msg ld 0x7f9b07402110 msgid 1 (infinite timeout)
wait4msg continue ld 0x7f9b07402110 msgid 1 all 1
** ld 0x7f9b07402110 Connections:
* host: 172.16.64.25  port: 389  (default)
  refcnt: 2  status: Connected
  last used: Mon Oct  6 12:04:38 2014


** ld 0x7f9b07402110 Outstanding Requests:
 * msgid 1,  origid 1, status InProgress
   outstanding referrals 0, parent count 0
  ld 0x7f9b07402110 request count 1 (abandoned 0)
** ld 0x7f9b07402110 Response Queue:
   Empty
  ld 0x7f9b07402110 response count 0
ldap_chkResponseList ld 0x7f9b07402110 msgid 1 all 1
ldap_chkResponseList returns ld 0x7f9b07402110 NULL
ldap_int_select
read1msg: ld 0x7f9b07402110 msgid 1 all 1
ber_get_next
ber_get_next: tag 0x30 len 50 contents:
read1msg: ld 0x7f9b07402110 msgid 1 message type bind
ber_scanf fmt ({eAA) ber:
read1msg: ld 0x7f9b07402110 0 new referrals
read1msg:  mark request completed, ld 0x7f9b07402110 msgid 1
request done: ld 0x7f9b07402110 msgid 1
res_errno: 0, res_error: <>, res_matched: <cn=Manager,dc=sub,dc=example,dc=org>
ldap_free_request (origid 1, msgid 1)
ldap_parse_result
ber_scanf fmt ({iAA) ber:
ber_scanf fmt (}) ber:
ldap_msgfree
ldap_err2string
ldap_bind: Success (0)
        matched DN: cn=Manager,dc=sub,dc=example,dc=org
...

Inhalt von _ / etc / pam.d / password-auth

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so

Inhalt von _ / etc / pam.d / system-auth

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so
centos  ldap  authentication  pam 
Lukas Schulze
quelle
Erhalten Sie Ergebnisse, wenn Sie "getent passwd user.name" oder "su - user.name" ausführen?
Andy
Der Benutzer existiert lokal, jedoch ohne Passwort. Die Authentifizierung erfolgt gegen LDAP. / etc / passwd: user.name:x:1028:1031::/home/user.name:/bin/bash / etc / shadow: user.name: !!: 16348: 0: 99999: 7 :::
Lukas Schulze
Nicht pam_ldapeine andere Datei als verwenden /etc/openldap/ldap.conf? Ich möchte /etc/ldap.confsofort sagen . Ich würde versuchen, das Modul zu debuggen, indem ich die debugOption für die zusätzliche Protokollierung verbosiry hinzufüge, d auth sufficient pam_ldap.so use_first_pass debug. H. Darüber hinaus denke ich, dass Sie die Frage nach Joffreys Rat verwirrt haben. Bitte kehren Sie zu Ihrer ursprünglichen Konfiguration zurück, wenn Sie möchten, dass andere Ihnen helfen können.
Andrew B
Können Sie den Inhalt von hinzufügen /etc/ldap.conf?
Andrew B
Vielen Dank! Das Ausführen von nslcd im Debug-Modus hat mir geholfen, den Fehler zu finden. Ich habe es als Antwort geschrieben.
Lukas Schulze

Antworten:

4

Das Ausführen von nslcd im Debug-Modus zeigt das Problem:

$ $(which nslcd) -d
...
nslcd: [8b4567] <authc="user.name"> DEBUG: myldap_search(base="dc=sub,dc=example,dc=org", filter="(&(objectClass=posixAccount)(uid=user.name))")
...
nslcd: [8b4567] <authc="user.name"> DEBUG: ldap_result(): end of results (0 total)
nslcd: [8b4567] <authc="user.name"> DEBUG: "user.name": user not found: No such object
...

nslcd legt standardmäßig einen Filter fest. Es ist nicht möglich, diesen Filter zu entfernen oder auf leer zu setzen.

Da keiner meiner LDAP-Benutzer eine objectClass namens posixAccount hat, können die Benutzer nicht gefunden werden und die Anmeldung wird verweigert.

Um dieses Problem zu beheben, musste ich diesen Filter mit einem eigenen überschreiben. Da ich nach der UID suche, ist es nützlich, den Filter für ein Attribut festzulegen, nach dem sowieso gesucht wird.

Neuer Inhalt meiner /etc/nslcd.conf :

filter passwd (uid=*)
uri ldap://172.16.64.25
base dc=sub,dc=example,dc=org
ssl no

Nach dem Ändern der nslcd.conf musste ich den Dienst nslcd neu starten:systemctl restart nslcd

Quelle: http://lists.arthurdejong.org/nss-pam-ldapd-users/2014/msg00025.html

.

Dies scheint ein Problem für _nss-pam-ldapd-0.8.13-8.el7.x86_64_ unter CentOS 7 zu sein!

$ nslcd -V
nss-pam-ldapd 0.8.13

Ich habe versucht, das Problem unter CentOS 6 zu reproduzieren, aber auf diesem nss-pam-ldapd gibt es Abhängigkeiten zu pam_ldap , dessen Konfigurationsdatei in /etc/pam_ldap.conf gespeichert ist und /etc/nslcd.conf anscheinend nicht so verwendet, wie es funktioniert unter CentOS 7.

Lukas Schulze
quelle
1
Ja, die pam_ldapNamenskollisionen sind sehr verwirrend. :( Es gibt mehrere Implementierungen, die alle Anspruch auf diesen
Andrew B
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.