abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 01:23 | Komunita

Phoronix spustil 2017 Linux Laptop Survey. Tento dotazník s otázkami zaměřenými na parametry ideálního notebooku s Linuxem lze vyplnit do 6. července.

Ladislav Hagara | Komentářů: 0
včera 22:44 | Nová verze

Po třech měsících vývoje od vydání verze 5.5.0 byla vydána verze 5.6.0 správce digitálních fotografií digiKam (digiKam Software Collection). Do digiKamu se mimo jiné vrátila HTML galerie a nástroj pro vytváření videa z fotografií. V Bugzille bylo uzavřeno více než 81 záznamů.

Ladislav Hagara | Komentářů: 1
včera 17:44 | Nová verze

Byla vydána verze 9.3 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab. Představení nových vlastností v příspěvku na blogu a na YouTube.

Ladislav Hagara | Komentářů: 2
včera 13:53 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2017-06-21 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Z novinek lze zdůraznit IDE Thonny pro vývoj v programovacím jazyce Python a především offline verzi Scratche 2.0. Ten bylo dosud možné používat pouze online. Offline bylo možné používat pouze Scratch ve verzi 1.4. Z nového Scratchu lze ovládat také GPIO piny. Scratch 2.0 vyžaduje Flash.

Ladislav Hagara | Komentářů: 0
22.6. 14:24 | Nová verze

Opera 46, verze 46.0.2597.26, byla prohlášena za stabilní. Nejnovější verze tohoto webového prohlížeče je postavena na Chromiu 59. Z novinek lze zmínit například podporu APNG (Animated Portable Network Graphics). Přehled novinek pro vývojáře na blogu Dev.Opera. Oznámení o vydání zmiňuje také první televizní reklamu.

Ladislav Hagara | Komentářů: 0
22.6. 13:37 | IT novinky

I čtenáři AbcLinuxu před dvěma lety vyplňovali dotazníky věnované Retro ThinkPadu. Nyní bylo potvrzeno, že iniciativa Retro ThinkPad je stále naživu a Lenovo připravuje speciální edici ThinkPadu jako součást oslav jeho 25. výročí.

Ladislav Hagara | Komentářů: 19
22.6. 10:22 | Komunita

Bylo oznámeno, že frontend a runtime programovacího jazyka D bude začleněn do kolekce kompilátorů GCC (GNU Compiler Collection). Správcem byl ustanoven Iain Buclaw.

Ladislav Hagara | Komentářů: 7
21.6. 18:47 | IT novinky
Bulharská firma Olimex je známá jako výrobce kvalitních mini arm desek, u nichž se snaží být maximálně open source. Kromě velké otevřenosti taktéž zaručují dlouhodobou podporu výroby, což je vítáno ve firemním prostředí. Nyní firma ohlásila ESP32-GATEWAY, malou IoT desku s Wifi, Bluetooth, Ethernetem a 20 GPIO porty za 22EUR. Tato malá deska je ořezanou verzí ESP32-EVB.
Max | Komentářů: 21
21.6. 18:00 | Zajímavý článek

LinuxGizmos (v dubnu loňského roku přejmenován na HackerBoards a v lednu letošního roku zpět na LinuxGizmos) zveřejnil výsledky čtenářské ankety o nejoblíbenější jednodeskový počítač (SBC) v roce 2017. Letos se vybíralo z 98 jednodeskových počítačů (Tabulky Google). Nejoblíbenějšími jednodeskovými počítači v letošním roce jsou Raspberry Pi 3 Model B, Raspberry Pi Zero W a Raspberry Pi 2 Model B.

Ladislav Hagara | Komentářů: 0
21.6. 14:22 | Pozvánky

Ne-konference jOpenSpace 2017 se koná od 13. do 15. října 2017 v hotelu Farma u Pelhřimova. Registrace účastníků je nutná. Více informací na stránkách ne-konference.

Zdenek H. | Komentářů: 0
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (31%)
 (1%)
 (9%)
 (44%)
 (9%)
Celkem 828 hlasů
 Komentářů: 65, poslední 1.6. 19:16
    Rozcestník

    Dotaz: FreeBSD - SSH ověřování proti LDAP

    14.10.2010 08:27 Pheek | skóre: 24 | blog: io
    FreeBSD - SSH ověřování proti LDAP
    Přečteno: 724×
    Dobrý den, mám problém s ověřování SSH proti LDAP. Mám rozjetý LDAP server, pomocí něho bych rád ověřoval uživatele které vpustím do systému pomocí SSH. Když zadám getent passwd tak vidím uživatele bez problému. V ssh mám nastaveno
    DenyUsers all
    AllowUsers ttest
    Uživatel ttest je jen součástí LDAP serveru a není jako uživatel přidaný pomocí adduser.
    cat /etc/nsswitch.conf 
    #
    # nsswitch.conf(5) - name service switch configuration file
    # $FreeBSD: src/etc/nsswitch.conf,v 1.1.10.1.2.1 2009/10/25 01:10:29 kensmith Exp $
    #
    #group: compat
    group: files ldap
    group_compat: nis
    hosts: files dns
    networks: files
    passwd: compat
    passwd: files ldap
    #passwd_compat: nis
    shells: files
    services: compat
    services_compat: nis
    protocols: files
    rpc: files
    
    cat /etc/pam.d/sshd 
    # auth
    auth            sufficient      pam_opie.so             no_warn no_fake_prompts
    auth            requisite       pam_opieaccess.so       no_warn allow_local
    #auth           sufficient      pam_krb5.so             no_warn try_first_pass
    #auth           sufficient      pam_ssh.so              no_warn try_first_pass
    auth            required        pam_ldap.so
    #auth            required        pam_unix.so             no_warn try_first_pass
    
    # account
    account         required        pam_nologin.so
    #account        required        pam_krb5.so
    account         required        pam_login_access.so
    account         required        pam_ldap.so
    #account         required        pam_unix.so
    
    # session
    #session        optional        pam_ssh.so
    session         sufficient      pam_ldap.so
    session         required        pam_permit.so
    
    # password
    #password       sufficient      pam_krb5.so             no_warn try_first_pass
    password        required        pam_ldap.so
    #password        required        pam_unix.so             no_warn try_first_pass
    Mohl by mi prosím někdo pomoci? Tady je error log.
    sshd[81597]: pam_ldap: error trying to bind as user "cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com" (Invalid credentials)
    sshd[81595]: error: PAM: authentication error for illegal user ttest from 1.2.3.4
    

    Řešení dotazu:


    Odpovědi

    14.10.2010 08:52 kraken
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Nazdar bazar

    a dokazes sa pomocou CLI ldap klienta prihlasit ako ttest to LDAP servra? Funguje Ti spojenie aspon takto? Ak ano mas zle nastaveny pam_ldap (/usr/local/etc/ldap.conf), ak nie tak nemas spravne nakonfigurovany OpenLDAP server.

    Odporucam elevovat uroven logovania na maximum a pozerat co sa tam deje.
    14.10.2010 09:31 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Ano, jako uživatel ttest se k LDAP připojím pomocí ldapsearch. Takže v LDAP problém nebude. V /usr/local/etc/ldap.conf mám toto:
    cat /usr/local/etc/ldap.conf
    uri ldap://192.168.1.1/
    base ou=People,dc=test,dc=com
    ldap_version 3
    binddn cn=admin,ou=SystemAccounts,dc=test,dc=com
    bindpw heslo
    bind_policy soft
    pam_password md5
    nss_base_passwd ou=People,dc=test,dc=com?sub
    nss_base_shadow ou=People,dc=test,dc=com?sub
    nss_base_group  ou=Groups,dc=test,dc=com?sub
    nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data
    scope one
    
    14.10.2010 10:26 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Je /usr/local/etc/ldap.conf ten správný soubor? V předchozím výpisu je cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com, což tomuhle výpisu neodpovídá.
    14.10.2010 10:55 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Ano je, co se vám v tom nezdá? ttest je jen uživatel který je v LDAP serveru a snažím se pomocí něho přihlásit.
    14.10.2010 11:12 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Při restartu slapd mám v logu ještě tuto hlášku
    nss_ldap: could not search LDAP server - Server is unavailable
    nevím zda mi to může ovlivňovat funkčnost.
    14.10.2010 11:18 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    No v tom výpisu je vidět, že sshd pokoušelo přihlásit jako uživatel „cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com“, přičemž z žádného vámi předloženého konfiguráku neplyne, proč zvolil zrovna tyhle přihlašovací údaje. Jako logické mi tedy připadá to, že ve skutečnosti sshd použil jiný konfigurák. Což by nebylo zrovna u přihlašování přes LDAP nic divného, protože tam bývá několik souborů ldap.conf, a každý konfiguruje něco jiného (PAM, NSS, řádkového klienta OpenLDAP…).
    14.10.2010 11:39 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Tyto informace jsou v pořádku, jsou součásti LDAP serveru. Ale i tak jsem do ldap.conf přidal toto:
    pam_filter objectclass=posixAccount
    pam_login_attribute uid
    pam_member_attribute memberuid
    
    Ale i tak to nefunguje a nepřihlásím se. uid je ttest tohoto účtu.
    14.10.2010 11:41 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Ještě jedna věc. Pokud vemu Ubuntu a nastavím tam co na freebsd tak se bez problému připojím a vše funguje jak má, ale na freebsd ne.
    14.10.2010 11:56 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Jak mohou být v pořádku? To jsou přihlašovací údaje, které používá klient, který před přihlášením k serveru nemůže ze serveru žádné informace získat. Navíc v tom výpisu z logu je napsáno, že jsou to neplatné přihlašovací údaje. Spíš mi to připadá, že to, o čem si myslíte, že je to konfigurace LDAP serveru, je ve skutečnosti konfigurace pro PAM. Jak vypadá vaše konfigurace LDAPu v PAM a jak v NSS?
    14.10.2010 12:05 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    cat /usr/local/etc/ldap.conf
    uri ldap://192.168.1.1/
    #base ou=People,dc=test,dc=com
    #base dc=test,dc=com
    ldap_version 3
    binddn cn=admin,ou=SystemAccounts,dc=test,dc=com
    bindpw heslo
    bind_policy soft
    pam_password md5
    pam_filter objectclass=posixAccount
    pam_login_attribute uid
    pam_member_attribute memberuid
    nss_base_passwd ou=People,dc=test,dc=com?sub
    nss_base_shadow ou=People,dc=test,dc=com?sub
    nss_base_group  ou=Groups,dc=test,dc=com?sub
    nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data
    scope one
    
    nss_ldap.conf mám totožné s ldap.conf
    cat /usr/local/etc/nss_ldap.conf
    uri ldap://192.168.1.1/
    #base ou=People,dc=test,dc=com
    #base dc=test,dc=com
    ldap_version 3
    binddn cn=admin,ou=SystemAccounts,dc=test,dc=com
    bindpw heslo
    bind_policy soft
    pam_password md5
    pam_filter objectclass=posixAccount
    pam_login_attribute uid
    pam_member_attribute memberuid
    nss_base_passwd ou=People,dc=test,dc=com?sub
    nss_base_shadow ou=People,dc=test,dc=com?sub
    nss_base_group  ou=Groups,dc=test,dc=com?sub
    nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data
    scope one
    
    Jak mohu vypsat jen jedno konkrétní uid abych ho mohl sem přidat. Pokoušel jsem se pomoci
    ldapsearch -x -b 'uid=ttest,ou=People,dc=test,dc=com'
    ale to mi nic nevypsalo. Moc děkuji za pomoc.
    14.10.2010 12:11 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Jak jsem psal výše, tak na linuxu (Ubuntu, OpenSuSE) mi to funguje bez problému. Ověřuji se proti LDAP serveru a pomocí ssh se přihlásím. A na FreeBSD ne.
    14.10.2010 12:19 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    jo a pokud dám na tom serveru který chci ať mě ověřuje pomocí ldap getent passwd tak dostanu seznam všech uživatelů v LDAP.
    14.10.2010 12:36 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    To ldapsearch nic nenalezlo, nebo to jen záznam nevypsalo? Připojení z Linuxu znamená, že tam máte SSH server, který se autorizuje proti stejnému LDAPu, nebo že se pokoušíte na to SSH na FreeBSD připojit z linuxového klienta, a funguje to, a když totéž zkusíte z FreeBSD klienta, přihlášení je odmítnuto?
    14.10.2010 12:49 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Takto ldapsearch něco našel:
    # ldapsearch -x -b '**=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com'
    # extended LDIF
    #
    # LDAPv3
    # base <**=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com> with scope subtree
    # filter: (objectclass=*)
    # requesting: ALL
    #
    
    # Test Test, Operations, HQ, People, test.com
    dn: **=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com
    objectClass: posixAccount
    objectClass: inetOrgPerson
    objectClass: organizationalPerson
    objectClass: person
    loginShell: /bin/bash
    gidNumber: 5001
    uid: ttest
    **: Test Test
    uidNumber: 10013
    sn: Test
    givenName: Test
    homeDirectory: /home/ttest
    userPassword:: e1NIQX1hcVFHSnFtajRhbEx1NjZrakpKd0ppZlpsbkU
    
    cn jsem musel ve výpisu nahradit pomocí **. Pokud nastavím ldap.conf a nss_ldap.conf na linuxu, tak to bez problému funguje. To znamená že mě mašina na které je linux a nastavené ověřování proti LDAP(freebsd) funguje. Ale pokud chci proti stejnému LDAP(FreeBSD) ověřovat jiný FreeBSD stroj(na kterém shodou okolností jede LDAP server který mě ověřuje, tak to nefunguje. To je ten samej LDAP který mě ověřuje v pořádku na linuxové mašině.
    14.10.2010 13:30 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    ldapsearch -x -b 'ou=People,dc=test,dc=com' '(uid=ttest)' předpokládám toho uživatele také najde. Pokud můžete manipulovat s tím LDAP serverem, zkusil bych jej spustit s vyšší úrovní logování – od nějaké úrovně loguje i přihlášení a dotazy, takže uvidíte, jak se SSH přihlašuje a případně co se pokouší hledat.
    14.10.2010 13:44 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Ano takto mi to najde uživatele ttest taky. Zvýšil jsem úroveň logování ale do logu se nepřidává nic víc než jen to co jsem napsal výše. Vůbec nechápu proč linux funguje normálně ale freebsd ne. Nevím co dělám špatně.
    14.10.2010 14:18 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Ten server je OpenLDAP? Určitě mi to fungovalo, že od určité úrovně logování (nebo při spuštění na popředí do konzole?) mi to vypisovalo dotazy.

    Když se zkusíte pod daným uživatelem do LDAPu přihlásit z příkazového řádku, tak vám to funguje?
    ldapsearch -x -W -D 'cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com' -b 'ou=People,dc=test,dc=com' '(uid=ttest)'
    14.10.2010 14:24 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Ano je to OpenLDAP server. Pomocí toho co jste sem uvedl se bez problému přihlásím. LDAP server jede bez problému.
    14.10.2010 14:33 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Když nastavíte loglevel na -1, mělo by se logovat vše, v tom musí být i dotazy a hesla… Případně můžete zkusit i zvýšit úroveň logování sshd, ale tam podle mne moc informací nebude (i když dn by tam být mohlo).
    14.10.2010 17:28 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Příloha:
    Přikládám kus logu. Nenašel jsem tam nic co by bylo nenormální.
    14.10.2010 18:47 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    To vypada jako log z toho vyhledavani, nikde tam ale nevidim pokus o prihlaseni jako ttest, ktery by melo provest to ssh. Opravdu se ssh pokousi autorizovat proti tomuhle serveru?
    14.10.2010 21:08 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Příloha:
    Ano je to tento server. Přikládám tedy vše co mi vypsal do logu při logování -1. Vůbec netuším kde je zakopaný pes.
    15.10.2010 08:13 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Zjistil jsem zajímavou věc. Pokud se na server pomocí ssh připojím pomocí roota a potom zadám su ttest tak se mi to připojí, samozřejmě bez hesla, jelikož jsem root. Takže nějaká část toho funguje. Takže na LDAP server ta mašina vidí. Problém tuším někde v pam.d , ověřování uživatelů atd.
    15.10.2010 08:25 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Tak jsem nastavil /etc/pam.d/passwd na:
    # password
    #password    requisite    pam_passwdqc.so        enforce=users
    ###password    required    pam_unix.so        no_warn try_first_pass nullok
    password    required    pam_ldap.so
    a su na:
    #
    # System-wide defaults
    #
    
    # auth
    auth            sufficient      pam_opie.so             no_warn no_fake_prompts
    auth            requisite       pam_opieaccess.so       no_warn allow_local
    #auth           sufficient      pam_krb5.so             no_warn try_first_pass
    #auth           sufficient      pam_ssh.so              no_warn try_first_pass
    auth            sufficient      pam_ldap.so
    auth            required        pam_unix.so             no_warn try_first_pass nullok
    
    # account
    #account        required        pam_krb5.so
    account         required        pam_login_access.so
    account         sufficient      pam_ldap.so
    account         required        pam_unix.so
    
    # session
    #session        optional        pam_ssh.so
    session         required        pam_ldap.so
    session         required        pam_lastlog.so          no_fail
    
    # password
    #password       sufficient      pam_krb5.so             no_warn try_first_pass
    password        required        pam_unix.so             no_warn try_first_pass
    
    
    a pokud se přihlásím běžným uživatelem na server a potom zadám su ttest tak to po mě chce heslo, pokud zadám špatné tak se nepřihlásím ale pokud zadám správné tak se bez problému přihlásím. Což mě utvrdilo že je špatně nastavený /etc/pam.d/ssh. Podotýkám že uživatel v systému neexistuje, je jen v LDAP.
    15.10.2010 08:39 Pheek | skóre: 24 | blog: io
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Tak už mi to funguje, problém byl opravdu v /etc/pam.d/ Moc děkuji za pomoc vše zůčasněným.
    15.10.2010 09:48 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
    Při přihlášení jako root se v sshd ověřuje uživatel proti /etc/passwd (kde jsou informace o rootovi, smazat roota z /etc/passwd a dát jej do LDAPu bych hodnotil jako velmi odvážný pokus). Při následném su se pak použije konfigurační soubor PAMu pro su, nikoli pro sshd – a jak už jste pravděpodobně zjistil, máte mezi nimi nějaký rozdíl.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.