Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2017-03-01 13:00:00

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

LDAP Klient debian

Witam. Potrzebuję pomocy w instalacji i konfiguracji klienta LDAP dla debiana 8.7
postępuję zgodnie z toturialem i nie mam efektu.
https://www.digitalocean.com/community/tutorials/ho … ntu-12-04-vps
Sam poradnik działa dla maszyn opartych na Ubuntu 16.10 a z w/w debianem jest problem. Porszę o podpowiedzi gdzie szukać

Offline

 

#2  2017-03-01 17:34:33

  Pakos - Członek DUG

Pakos
Członek DUG
Zarejestrowany: 2007-06-12
Serwis

Re: LDAP Klient debian

a w ktorym momencie jest problem?

Offline

 

#3  2017-03-01 19:51:00

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

Re: LDAP Klient debian

W ogóle nie łączy się z serwerem LDAP choć telnetem na porcie 389 maszyny się widzą. Przy próbie logowania się z użyciem ldap w logach widać komunikat invalid user
I sam serwer działa poprawnie gdyż maszyna z ubuntu loguje bez problemu userów.
Maszyna na debianie jest całkowicie czyta postawiona do testów tak by ewentualny konfig zastowować później w docelowych maszynach.

Offline

 

#4  2017-03-01 20:17:48

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: LDAP Klient debian

LDAP? masz tam autoryzację w Windows Serwer, że potrzebujesz LDAP?

Jeżeli nie, a konfigurujesz same Linuxy, to lepszy będzie FreeRadius z Mysql na serwerze, do tego pam_radius na maszynach klienckich i gotowe, 20 razy prostsze
i pewniejsze rozwiązanie.

Ostatnio edytowany przez Jacekalex (2017-03-01 20:18:02)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2017-03-02 09:29:43

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

Re: LDAP Klient debian

Jacekalex faktycznie są to same maszyny na linux. Szukałem fakt być może nieco pobieżnie  ale nie widzę gdzie i jak dodawać użytkowników i ewentualnie gdzie wskazać klientowi, że ma autoryzować się przez freeradius

Offline

 

#6  2017-03-02 17:46:33

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: LDAP Klient debian

Serwer radiusa (freeradius) na jednym kompie,
do tego otwarty na firewallu port, na których słucha radius, na reszcie kompów autoryzacja z wykorzystaniem biblioteki pam_radius, w Debianie paczka nazywa się:
libpam-radius-auth

Konfiguracja serwera jest prostsza, aniżeli LDAPa, choć to jest troszkę zabawy,
a konfiguracja klienta pam-radius to sprawa banalna:

http://freeradius.org/pam_radius_auth/pam_radius_auth.conf

Przykład autoryzacji radius z użyciem radtest:

Kod:

Sending Access-Request of id 230 to 127.0.0.1 port 1815
    User-Name = "test"
    CHAP-Password = 0xe64012f6196b53698c9c2df6cb6eb669dd
    NAS-IP-Address = 127.0.0.1
    NAS-Port = 0
    Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1815, id=230, length=5
    Framed-IP-Address = 192.168.2.229
    Framed-IP-Netmask = 255.255.255.0
    Freeswitch-Context = "default"
    Freeswitch-AVPair = "account=tester"

Radius też współpracuje z hostapd i większością routerów, co otwiera możliwość łatwej autoryzacji wifi dla np laptopów, cegłofonów i tabletów.

Ostatnio edytowany przez Jacekalex (2017-03-02 17:50:31)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2017-03-03 11:33:22

  jac - Użytkownik

jac
Użytkownik
Skąd: Kraków
Zarejestrowany: 2013-05-30

Re: LDAP Klient debian

Ta instrukcja jest przeznaczona pod Ubuntu, dla Debiana może to wyglądać troszkę inaczej. Komunikat "invalid user" wskazuje na problemy z autentykacją. Na początek sprawdziłbym czy w zależnościach zainstalował się pakiet libnss-ldap, jeśli nie to napewno należy go doinstalować (podczas instalacji powinien uruchomić się konfigurator, podobny do tego co przy instalacji libpam-ldap).

Ostatnio edytowany przez jac (2017-03-03 11:45:02)

Offline

 

#8  2017-03-03 13:40:56

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

Re: LDAP Klient debian

efekt mam taki, że w momencie skonfigurowania klienta LDAP na maszynie terowej z poradnika
http://www.itzgeek.com/how-tos/linux/ubuntu-how-tos … debian-8.html
wszystko poszło od strzału.
Ta sama konfiguracja na docelowej maszynie i jest  cessing: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax
Jedyna różnica z maszynątestową a docelową jest taka, że w docelowej jest csf na którym odblowowałem port 389
jakieś pomysły ?

Offline

 

#9  2017-03-03 21:20:12

  jac - Użytkownik

jac
Użytkownik
Skąd: Kraków
Zarejestrowany: 2013-05-30

Re: LDAP Klient debian

Jeśli na jednej maszynie działa a na innej nie działa, to porównałbym pliki konfiguracyjne na obu maszynach: /etc/ldap/ldap.conf /etc/pam_ldap.conf, , /etc/libnss-ldap.conf, /etc/nsswitch.conf, /etc/pam.d/*.

Offline

 

#10  2017-03-09 14:02:33

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

Re: LDAP Klient debian

jac wszystko identycznie
w logach /var/log/auth.log mam tak:

Kod:

Mar  9 10:21:51 test-syslog1 nscd: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax
Mar  9 10:21:51 test-syslog1 sshd[31447]: Invalid user ttest from 10.12.14.84
Mar  9 10:21:51 test-syslog1 sshd[31447]: input_userauth_request: invalid user ttest [preauth]
Mar  9 10:22:09 test-syslog1 sshd[31447]: pam_unix(sshd:auth): check pass; user unknown
Mar  9 10:22:09 test-syslog1 sshd[31447]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.12.14.84
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: logging debug info
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: allowing from localhost
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: allowing from 127.0.0.1/255.0.0.0
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: done reading config file, 0 errors
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: user ttest
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: remotehost 10.12.14.84
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: missing DNS entry for 10.12.14.84 (allowed)
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: remoteip 10.12.14.84
Mar  9 10:22:09 test-syslog1 PAM-shield[31447]: 1 times from 10.12.14.84
Mar  9 10:22:09 test-syslog1 sshd[31447]: pam_ldap: error trying to bind as user "cn=Test Test,cn=sudo,cn=admin,dc=test,dc=pl" (Invalid credentials)
Mar  9 10:22:10 test-syslog1 sshd[31447]: Failed password for invalid user ttest from 10.12.14.84 port 60614 ssh2
Mar  9 10:22:19 test-syslog1 cessing: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax
Mar  9 10:23:06 test-syslog1 sshd[31447]: Connection closed by 10.12.14.84 [preauth]
Mar  9 10:23:19 test-syslog1 cessing: nss_ldap: failed to bind to LDAP server ldap://10.12.14.15: Invalid DN syntax

wyłączony firewal(csf) na bu maszynach (kient & serwer) i kaszana

Ostatnio edytowany przez Mruwasek (2017-03-09 14:07:32)

Offline

 

#11  2017-03-15 14:40:36

  Mruwasek - Użytkownik

Mruwasek
Użytkownik
Zarejestrowany: 2017-03-01

Re: LDAP Klient debian

Ok sprawa opanowana. Problem jest tym razem z użytkownikiem kiedy ma wymuszaną zmianę hasła po zalogowaniu się i ponownym podaniu (starego) hasła rozłącza sesje z informacją:

Kod:

authentication token manipulation error

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)