abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
dnes 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 0
dnes 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 0
včera 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 24
včera 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
5.12. 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 6
5.12. 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 50
5.12. 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 10
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 17
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (8%)
 (5%)
 (3%)
Celkem 784 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: FreeBSD - SSH ověřování proti LDAP

14.10.2010 08:27 Pheek | skóre: 24 | blog: io
FreeBSD - SSH ověřování proti LDAP
Přečteno: 714×
Dobrý den, mám problém s ověřování SSH proti LDAP. Mám rozjetý LDAP server, pomocí něho bych rád ověřoval uživatele které vpustím do systému pomocí SSH. Když zadám getent passwd tak vidím uživatele bez problému. V ssh mám nastaveno
DenyUsers all
AllowUsers ttest
Uživatel ttest je jen součástí LDAP serveru a není jako uživatel přidaný pomocí adduser.
cat /etc/nsswitch.conf 
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: src/etc/nsswitch.conf,v 1.1.10.1.2.1 2009/10/25 01:10:29 kensmith Exp $
#
#group: compat
group: files ldap
group_compat: nis
hosts: files dns
networks: files
passwd: compat
passwd: files ldap
#passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
cat /etc/pam.d/sshd 
# auth
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            required        pam_ldap.so
#auth            required        pam_unix.so             no_warn try_first_pass

# account
account         required        pam_nologin.so
#account        required        pam_krb5.so
account         required        pam_login_access.so
account         required        pam_ldap.so
#account         required        pam_unix.so

# session
#session        optional        pam_ssh.so
session         sufficient      pam_ldap.so
session         required        pam_permit.so

# password
#password       sufficient      pam_krb5.so             no_warn try_first_pass
password        required        pam_ldap.so
#password        required        pam_unix.so             no_warn try_first_pass
Mohl by mi prosím někdo pomoci? Tady je error log.
sshd[81597]: pam_ldap: error trying to bind as user "cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com" (Invalid credentials)
sshd[81595]: error: PAM: authentication error for illegal user ttest from 1.2.3.4

Řešení dotazu:


Odpovědi

14.10.2010 08:52 kraken
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Nazdar bazar

a dokazes sa pomocou CLI ldap klienta prihlasit ako ttest to LDAP servra? Funguje Ti spojenie aspon takto? Ak ano mas zle nastaveny pam_ldap (/usr/local/etc/ldap.conf), ak nie tak nemas spravne nakonfigurovany OpenLDAP server.

Odporucam elevovat uroven logovania na maximum a pozerat co sa tam deje.
14.10.2010 09:31 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Ano, jako uživatel ttest se k LDAP připojím pomocí ldapsearch. Takže v LDAP problém nebude. V /usr/local/etc/ldap.conf mám toto:
cat /usr/local/etc/ldap.conf
uri ldap://192.168.1.1/
base ou=People,dc=test,dc=com
ldap_version 3
binddn cn=admin,ou=SystemAccounts,dc=test,dc=com
bindpw heslo
bind_policy soft
pam_password md5
nss_base_passwd ou=People,dc=test,dc=com?sub
nss_base_shadow ou=People,dc=test,dc=com?sub
nss_base_group  ou=Groups,dc=test,dc=com?sub
nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data
scope one
14.10.2010 10:26 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Je /usr/local/etc/ldap.conf ten správný soubor? V předchozím výpisu je cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com, což tomuhle výpisu neodpovídá.
14.10.2010 10:55 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Ano je, co se vám v tom nezdá? ttest je jen uživatel který je v LDAP serveru a snažím se pomocí něho přihlásit.
14.10.2010 11:12 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Při restartu slapd mám v logu ještě tuto hlášku
nss_ldap: could not search LDAP server - Server is unavailable
nevím zda mi to může ovlivňovat funkčnost.
14.10.2010 11:18 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
No v tom výpisu je vidět, že sshd pokoušelo přihlásit jako uživatel „cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com“, přičemž z žádného vámi předloženého konfiguráku neplyne, proč zvolil zrovna tyhle přihlašovací údaje. Jako logické mi tedy připadá to, že ve skutečnosti sshd použil jiný konfigurák. Což by nebylo zrovna u přihlašování přes LDAP nic divného, protože tam bývá několik souborů ldap.conf, a každý konfiguruje něco jiného (PAM, NSS, řádkového klienta OpenLDAP…).
14.10.2010 11:39 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Tyto informace jsou v pořádku, jsou součásti LDAP serveru. Ale i tak jsem do ldap.conf přidal toto:
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberuid
Ale i tak to nefunguje a nepřihlásím se. uid je ttest tohoto účtu.
14.10.2010 11:41 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Ještě jedna věc. Pokud vemu Ubuntu a nastavím tam co na freebsd tak se bez problému připojím a vše funguje jak má, ale na freebsd ne.
14.10.2010 11:56 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Jak mohou být v pořádku? To jsou přihlašovací údaje, které používá klient, který před přihlášením k serveru nemůže ze serveru žádné informace získat. Navíc v tom výpisu z logu je napsáno, že jsou to neplatné přihlašovací údaje. Spíš mi to připadá, že to, o čem si myslíte, že je to konfigurace LDAP serveru, je ve skutečnosti konfigurace pro PAM. Jak vypadá vaše konfigurace LDAPu v PAM a jak v NSS?
14.10.2010 12:05 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
cat /usr/local/etc/ldap.conf
uri ldap://192.168.1.1/
#base ou=People,dc=test,dc=com
#base dc=test,dc=com
ldap_version 3
binddn cn=admin,ou=SystemAccounts,dc=test,dc=com
bindpw heslo
bind_policy soft
pam_password md5
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberuid
nss_base_passwd ou=People,dc=test,dc=com?sub
nss_base_shadow ou=People,dc=test,dc=com?sub
nss_base_group  ou=Groups,dc=test,dc=com?sub
nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data
scope one
nss_ldap.conf mám totožné s ldap.conf
cat /usr/local/etc/nss_ldap.conf
uri ldap://192.168.1.1/
#base ou=People,dc=test,dc=com
#base dc=test,dc=com
ldap_version 3
binddn cn=admin,ou=SystemAccounts,dc=test,dc=com
bindpw heslo
bind_policy soft
pam_password md5
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberuid
nss_base_passwd ou=People,dc=test,dc=com?sub
nss_base_shadow ou=People,dc=test,dc=com?sub
nss_base_group  ou=Groups,dc=test,dc=com?sub
nss_initgroups_ignoreusers apt-mirror,avahi,avahi-autoipd,backup,bin,couchdb,daemon,dhcpd,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uucp,www-data
scope one
Jak mohu vypsat jen jedno konkrétní uid abych ho mohl sem přidat. Pokoušel jsem se pomoci
ldapsearch -x -b 'uid=ttest,ou=People,dc=test,dc=com'
ale to mi nic nevypsalo. Moc děkuji za pomoc.
14.10.2010 12:11 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Jak jsem psal výše, tak na linuxu (Ubuntu, OpenSuSE) mi to funguje bez problému. Ověřuji se proti LDAP serveru a pomocí ssh se přihlásím. A na FreeBSD ne.
14.10.2010 12:19 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
jo a pokud dám na tom serveru který chci ať mě ověřuje pomocí ldap getent passwd tak dostanu seznam všech uživatelů v LDAP.
14.10.2010 12:36 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
To ldapsearch nic nenalezlo, nebo to jen záznam nevypsalo? Připojení z Linuxu znamená, že tam máte SSH server, který se autorizuje proti stejnému LDAPu, nebo že se pokoušíte na to SSH na FreeBSD připojit z linuxového klienta, a funguje to, a když totéž zkusíte z FreeBSD klienta, přihlášení je odmítnuto?
14.10.2010 12:49 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Takto ldapsearch něco našel:
# ldapsearch -x -b '**=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com'
# extended LDIF
#
# LDAPv3
# base <**=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# Test Test, Operations, HQ, People, test.com
dn: **=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com
objectClass: posixAccount
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
loginShell: /bin/bash
gidNumber: 5001
uid: ttest
**: Test Test
uidNumber: 10013
sn: Test
givenName: Test
homeDirectory: /home/ttest
userPassword:: e1NIQX1hcVFHSnFtajRhbEx1NjZrakpKd0ppZlpsbkU
cn jsem musel ve výpisu nahradit pomocí **. Pokud nastavím ldap.conf a nss_ldap.conf na linuxu, tak to bez problému funguje. To znamená že mě mašina na které je linux a nastavené ověřování proti LDAP(freebsd) funguje. Ale pokud chci proti stejnému LDAP(FreeBSD) ověřovat jiný FreeBSD stroj(na kterém shodou okolností jede LDAP server který mě ověřuje, tak to nefunguje. To je ten samej LDAP který mě ověřuje v pořádku na linuxové mašině.
14.10.2010 13:30 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
ldapsearch -x -b 'ou=People,dc=test,dc=com' '(uid=ttest)' předpokládám toho uživatele také najde. Pokud můžete manipulovat s tím LDAP serverem, zkusil bych jej spustit s vyšší úrovní logování – od nějaké úrovně loguje i přihlášení a dotazy, takže uvidíte, jak se SSH přihlašuje a případně co se pokouší hledat.
14.10.2010 13:44 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Ano takto mi to najde uživatele ttest taky. Zvýšil jsem úroveň logování ale do logu se nepřidává nic víc než jen to co jsem napsal výše. Vůbec nechápu proč linux funguje normálně ale freebsd ne. Nevím co dělám špatně.
14.10.2010 14:18 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Ten server je OpenLDAP? Určitě mi to fungovalo, že od určité úrovně logování (nebo při spuštění na popředí do konzole?) mi to vypisovalo dotazy.

Když se zkusíte pod daným uživatelem do LDAPu přihlásit z příkazového řádku, tak vám to funguje?
ldapsearch -x -W -D 'cn=Test Test,ou=Operations,ou=HQ,ou=People,dc=test,dc=com' -b 'ou=People,dc=test,dc=com' '(uid=ttest)'
14.10.2010 14:24 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Ano je to OpenLDAP server. Pomocí toho co jste sem uvedl se bez problému přihlásím. LDAP server jede bez problému.
14.10.2010 14:33 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Když nastavíte loglevel na -1, mělo by se logovat vše, v tom musí být i dotazy a hesla… Případně můžete zkusit i zvýšit úroveň logování sshd, ale tam podle mne moc informací nebude (i když dn by tam být mohlo).
14.10.2010 17:28 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Příloha:
Přikládám kus logu. Nenašel jsem tam nic co by bylo nenormální.
14.10.2010 18:47 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
To vypada jako log z toho vyhledavani, nikde tam ale nevidim pokus o prihlaseni jako ttest, ktery by melo provest to ssh. Opravdu se ssh pokousi autorizovat proti tomuhle serveru?
14.10.2010 21:08 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Příloha:
Ano je to tento server. Přikládám tedy vše co mi vypsal do logu při logování -1. Vůbec netuším kde je zakopaný pes.
15.10.2010 08:13 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Zjistil jsem zajímavou věc. Pokud se na server pomocí ssh připojím pomocí roota a potom zadám su ttest tak se mi to připojí, samozřejmě bez hesla, jelikož jsem root. Takže nějaká část toho funguje. Takže na LDAP server ta mašina vidí. Problém tuším někde v pam.d , ověřování uživatelů atd.
15.10.2010 08:25 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Tak jsem nastavil /etc/pam.d/passwd na:
# password
#password    requisite    pam_passwdqc.so        enforce=users
###password    required    pam_unix.so        no_warn try_first_pass nullok
password    required    pam_ldap.so
a su na:
#
# System-wide defaults
#

# auth
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            sufficient      pam_ldap.so
auth            required        pam_unix.so             no_warn try_first_pass nullok

# account
#account        required        pam_krb5.so
account         required        pam_login_access.so
account         sufficient      pam_ldap.so
account         required        pam_unix.so

# session
#session        optional        pam_ssh.so
session         required        pam_ldap.so
session         required        pam_lastlog.so          no_fail

# password
#password       sufficient      pam_krb5.so             no_warn try_first_pass
password        required        pam_unix.so             no_warn try_first_pass

a pokud se přihlásím běžným uživatelem na server a potom zadám su ttest tak to po mě chce heslo, pokud zadám špatné tak se nepřihlásím ale pokud zadám správné tak se bez problému přihlásím. Což mě utvrdilo že je špatně nastavený /etc/pam.d/ssh. Podotýkám že uživatel v systému neexistuje, je jen v LDAP.
15.10.2010 08:39 Pheek | skóre: 24 | blog: io
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Tak už mi to funguje, problém byl opravdu v /etc/pam.d/ Moc děkuji za pomoc vše zůčasněným.
15.10.2010 09:48 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: FreeBSD - SSH ověřování proti LDAP
Při přihlášení jako root se v sshd ověřuje uživatel proti /etc/passwd (kde jsou informace o rootovi, smazat roota z /etc/passwd a dát jej do LDAPu bych hodnotil jako velmi odvážný pokus). Při následném su se pak použije konfigurační soubor PAMu pro su, nikoli pro sshd – a jak už jste pravděpodobně zjistil, máte mezi nimi nějaký rozdíl.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.