LDAP kimlik doğrulama hataları nasıl takip edilir?


3

1) Ec2'de jumpbox üzerinden çalışan LDAP istemcilerinde kullanılabildiğini onayladığım çalışan bir LDAP sunucum var.

2) Sunucuyu işaret etmek için ldap tabanlı kimlik doğrulamasını ayarlamak için authconfig kullandım:

authconfig --useshadow --enablesssd --enablesssdauth --enablesssdauth --passalgo=sha512 --enableldap --ldapserver=my.ldap.server --ldapbasedn='ou=users,o=Directory' --enablecachecreds --enablelocauthorize --update --enableldapauth

3) Ancak, LDAP girişi başarısız olur:

[root @ m2 ~] # su bsmith su: kullanıcı bsmith mevcut değil

Hata ayıklamak için, olabildiğince çok LDP bileşenini doğrulamaya çalışıyorum. HEre, müşteri makinemden gelen bazı veriler:

1) /etc/nsswitch.conf benim listede ldap var gibi görünüyor:

passwd:     files sss ldap
shadow:     files sss ldap
group:      files sss ldap

2) Ayrıca, sonunda doğru içeriğe sahip gibi görünen /etc/pam_ldap.conf dosyasını kontrol ettikten sonra:

# SASL mechanism for PAM authentication - use is experimental
# at present and does not support password policy control
#pam_sasl_mech DIGEST-MD5
uri ldap://my.ldap.server/
ssl start_tls
tls_cacertdir /etc/openldap/cacerts
pam_password md5

Girişimin başarısız olduğunu ve müşterimin neden giriş yapamadığını bulmak için müşterimdeki giriş / doğrulama yolunu nasıl hata ayıklayabilirim?


1
Bu CentOS, Fedora mı, RedHat mı? Bundan bağımsız olarak, büyük olasılıkla /var/log/secureve içinde sorununuzla ilgili bir şeyler bulacaksınız /var/log/messages.
Sami Laine

Bu RHEL üzerinde
jayunit100

1
bunu cevaplayacak kimse yok mu? centos 6.5 kullanarak da burada aynı hatayla karşı karşıya
Babin Lonston

Yanıtlar:


0

Bence / var / log / secure ve / var / log / messages 'i @sami olarak yukarıdaki başlıkta bahsetti. Ayrıca lütfen bu deamonların çalıştığını ve "nscd ve nslcd" çalıştığını kontrol edin.

Lütfen aşağıdaki ayarları da kontrol ediniz ..!
/etc/nslcd.conf:

uid nslcd
gid ldap
# This comment prevents repeated auto-migration of settings.
uri ldap://ldap.da.com
base dc=da,dc=com
ssl start_tls
tls_cacertdir /etc/openldap/cacerts
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.