PAM + LDAP: root login nicht möglich

[grisu]

Hallo zusammen,

ich habe jetzt bei mir einen FreeBSD Samba-PDC nach der Anleitung von https://www.bsdwiki.de/FreeBSD_-_Samba_PDC aufgesetzt. Die Anmeldung auf den Windows Maschinen, sowie die Anmeldung mit Nutzern aus dem LDAP auf der FreeBSD kiste funktioniert einwandfrei. Auch mit Nutzern, die nur lokal auf dem FreeBSD Server existieren kann ich mich auf ihm noch einloggen, mit einer Ausnahme und zwar root. Versuche ich mich mit root einzuloggen, so erhalte ich in /var/log/auth.log folgende ausgabe:

Code:

Oct  7 18:11:06 vm-freebsd login: pam_acct_mgmt(): authentication error
Oct  7 18:11:07 vm-freebsd login: 1 LOGIN FAILURE ON pts/1
Oct  7 18:11:07 vm-freebsd login: 1 LOGIN FAILURE ON pts/1, root

In der /etc/pam.d/system habe ich folgendes eingetragen:

Code:

#
# $FreeBSD: src/etc/pam.d/system,v 1.1.32.1.4.1 2010/06/14 02:09:06 kensmith Exp $
#
# System-wide defaults
#

# auth
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            sufficient      /usr/local/lib/pam_ldap.so       
auth            required        pam_unix.so             no_warn try_first_pass nullok

# account
#account        required        pam_krb5.so
# account               required        pam_login_access.so
account         sufficient      /usr/local/lib/pam_ldap.so ignore_unknown_users
account         required        pam_unix.so

# session
#session        optional        pam_ssh.so
session         required        pam_lastlog.so          no_fail

# password
#password       sufficient      pam_krb5.so             no_warn try_first_pass
password        sufficient      /usr/local/lib/pam_ldap.so              use_first_pass use_authok
password        required        pam_unix.so             no_warn try_first_pass

Da ich die ldap-datenbank mit den smbldap tools gefüllt habe, existiert im ldap auch der root nutzer. Dieses stimmt jedoch nahezu mit dem lokalen root überein:

Code:

vm-freebsd# getent passwd | grep root
root:$1${PASSWORD}:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
root:*:0:0:Netbios Domain Administrator:/root:/bin/csh
vm-freebsd#

Die Passwörter beider root accounts sind die gleichen.

Wie muss ich nun die ganze Sache ändern, dabei das ganze auch für den Nutzer root funktioniert? Selbst wenn ich root aus dem ldap entferne, dass der account nur lokal existiert, bleiben die fehlermeldungen genau so erhalten.

Schon mal vielen dank für die hilfe.


Grisu

[zuglufttier]

Diesen [1] Punkt vielleicht übersehen?

[1] - https://www.bsdwiki.de/FreeBSD_-_Sam...rator-Passwort

[grisu]

Diesen Punkt habe ich genau wie er da stand übernommmen. Sonst könnte ich mich ja auch nicht als cn=ldapAdmin am LDAP anmelden und daten ändern.

[juedan]

Hallo grisu,

Zitat:

Zitat von grisu

Hallo zusammen,

Code:

Oct  7 18:11:06 vm-freebsd login: pam_acct_mgmt(): authentication error
Oct  7 18:11:07 vm-freebsd login: 1 LOGIN FAILURE ON pts/1
Oct  7 18:11:07 vm-freebsd login: 1 LOGIN FAILURE ON pts/1, root

Code:

vm-freebsd# getent passwd | grep root
root:$1${PASSWORD}:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
root:*:0:0:Netbios Domain Administrator:/root:/bin/csh
vm-freebsd#

Die Passwörter beider root accounts sind die gleichen.

Grisu

Du hast in Deinem Netzwerk zwei root-Accounts und das System weiß nicht, welcher für die Authentifizierung benutzt werden soll.

JueDan

[grisu]

Auch wenn da zur zeit 2 Accounts da sind, wenn ich den aus dem LDAP entferne, bleibt mit der PAM-Konfiguration das Problem bestehen. Das heißt der Fehler tritt genau so auch auf wenn

Code:

vm-freebsd# getent passwd | grep root
root:$1${PASSWORD}:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
vm-freebsd#

gilt. Ich könnte ja durch aus auf dem root im LDAP verzichten, jeodch müsste dann wenigstens die anmeldung mittels dem lokalen root account funkionieren und das tut sie eben nicht.