Anmeldung schlägt fehl

Post Reply
Message
Author
User avatar
kevin91
Posts: 12
Joined: 15. Apr 2013 9:52

Anmeldung schlägt fehl

#1 Post by kevin91 »

Hallo liebe Forengemeinde und Linux-Freunde,

hab nun erfolgreich soweit meine Kerberos-Ldap-AD Kombination aufgebaut
und bekomme nun am Kerberos-Server erfolgreich Tickets für AD-User
zugewiesen und kann per su <name> auch erfolgreich die Shell öffnen.

Allerdings funktioniert das Einloggen in die Linux-Konsole als User an sich nicht.

Hier mal der Auszug aus meiner /var/log/secure

Code: Select all

Jun 17 16&#58;53&#58;28 pmlin19-135 login&#58; pam_unix&#40;login&#58;auth&#41;&#58; authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost=  user=test
Jun 17 16&#58;53&#58;28 pmlin19-135 login&#58; pam_sss&#40;login&#58;auth&#41;&#58; system info&#58; &#91;Client not found in Kerberos database&#93;
Jun 17 16&#58;53&#58;28 pmlin19-135 login&#58; pam_sss&#40;login&#58;auth&#41;&#58; authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost= user=test
Jun 17 16&#58;53&#58;28 pmlin19-135 login&#58; pam_sss&#40;login&#58;auth&#41;&#58; received for user test&#58; 4 &#40;System error&#41;
Jun 17 16&#58;53&#58;28 pmlin19-135 login&#58; pam_ldap&#58; could not open secret file /etc/pam_ldap.secret &#40;No such file or directory&#41;
Jun 17 16&#58;53&#58;28 pmlin19-135 login&#58; pam_ldap&#58; error trying to bind &#40;Invalid credentials&#41;
Jun 17 16&#58;53&#58;30 pmlin19-135 login&#58; FAILED LOGIN 1 FROM &#40;null&#41; FOR test, Authentication failure
Meine pam_ldap.conf ist aufs notwendigste reduziert:

Code: Select all

base ou=pm,dc=pm,dc=dom

rootbinddn cn=padl,ou=pm,dc=pm,dc=dom
bindpw padl

port 636

# RFC 2307 &#40;AD&#41; mappings
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute shadowLastChange pwdLastSet
nss_map_objectclass posixGroup group
nss_map_attribute uniqueMember member
pam_login_attribute sAMAccountName
pam_filter objectclass=User

uri ldap&#58;//pmlin19-135.pm.dom, ldap&#58;//pmwin19-129.pm.dom
ssl no
pam_password md5
tls_cacertdir /etc/pki/tls/certs
Und zum Schluss nochmal meine /etc/pam.d/system-auth

Code: Select all


auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_sss.so use_first_pass
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     &#91;default=bad success=ok user_unknown=ignore&#93; pam_sss.so
account     &#91;default=bad success=ok user_unknown=ignore&#93; pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_mkhomedir.so
session     &#91;success=1 default=ignore&#93; pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so
session     optional      pam_ldap.so

Kann mir wer sagen, wo genau ich da einen Fehler habe, dass die Authentifizierung des Users beim einloggen fehl schlägt?

getent passwd name
und
su name

funktionieren wie gesagt und geben mir auch alle entsprechenden User aus der OU zurück.
Bin momentan am rumrätseln.

Bitte um erleuchtung ;)
AD-LDAP-KERBEROS-SERVER-COMBINATED-ARCHIVEMENT -> CHECK

Post Reply