lockdoc
Well-Known Member
Hi,
ich versuche grade vergeblich eine SSH Authentifizierung via LDAP anhand einer Gruppe.
Das scheitert wie folgt:
Ansonsten bin ich auch in der Gruppe:
Und die Gruppe existiert auf jeden Fall im LDAP
Der Eintrag der ldap.conf sieht wie folgt aus:
Wenn ich diese beiden Zeilen auskommentiere (pam_groupdn und pam_member_attribute), dann kann ich mich via ssh einloggen. Ich will aber nicht, dass sich jeder user dort einloggen kann, sondern will das schon auf eine bestimmte Gruppe beschraenken.
Hat da noch jemand einen Tipp uebrig?
ich versuche grade vergeblich eine SSH Authentifizierung via LDAP anhand einer Gruppe.
Das scheitert wie folgt:
Code:
user> ssh patu@nas
Password:
You must be a member of cn=ssh-nas,ou=Groups,dc=example,dc=lan to login.
Permission denied (publickey,keyboard-interactive).
Ansonsten bin ich auch in der Gruppe:
Code:
root> id patu
uid=10000(patu) gid=513(Domain Users) groups=513(Domain Users),...,10018(ssh-nas)
Und die Gruppe existiert auf jeden Fall im LDAP
Code:
ldapsearch -x -W -D 'cn=Manager,dc=example,dc=lan' -h ldap.example.lan "cn=ssh-nas"
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <dc=example,dc=lan> (default) with scope subtree
# filter: cn=ssh-nas
# requesting: ALL
#
# ssh-nas, Groups, example.lan
dn: cn=ssh-nas,ou=Groups,dc=example,dc=lan
objectClass: top
objectClass: posixGroup
cn: ssh-nas
gidNumber: 10018
memberUid: patu
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
Der Eintrag der ldap.conf sieht wie folgt aus:
Code:
# @(#)$Id: ldap.conf,v 2.49 2009/04/25 01:53:15 lukeh Exp $
#
host ldap.example.lan
base dc=example,dc=lan
uri ldap://ldap.example.lan/
bind_policy soft
bind_timelimit 10
idle_timelimit 3600
ldap_version 3
nss_base_group ou=Groups,dc=example,dc=lan?one
nss_base_passwd ou=People,dc=example,dc=lan?one
#nss_base_passwd ou=Computers,dc=example,dc=lan?one
nss_base_shadow ou=People,dc=example,dc=lan?one
nss_connect_policy persist
nss_paged_results yes
pagesize 1000
port 389
scope one
timelimit 30
pam_groupdn cn=ssh-nas,ou=Groups,dc=example,dc=lan
pam_member_attribute member
Wenn ich diese beiden Zeilen auskommentiere (pam_groupdn und pam_member_attribute), dann kann ich mich via ssh einloggen. Ich will aber nicht, dass sich jeder user dort einloggen kann, sondern will das schon auf eine bestimmte Gruppe beschraenken.
Hat da noch jemand einen Tipp uebrig?
Last edited:
verstehe