.png)
Tengo Centos 7 y los siguientes paquetes instalados:
[root@centos7 pam.d]# rpm -qa|grep ldap
nss-pam-ldapd-0.8.13-8.el7.x86_64
openldap-2.4.44-5.el7.x86_64
openldap-clients-2.4.44-5.el7.x86_64
Mis configuraciones:
/etc/nslcd.conf:
uid nslcd
gid ldap
uri ldap://<my_ldap_server_ip>
base dc=company,dc=org
binddn cn=proxy,ou=users,dc=company,dc=org
bindpw <bind_pw>
nss_initgroups_ignoreusers root,nslcd
nss_min_uid 10000
filter passwd (objectClass=posixAccount)
base passwd ou=users,dc=company,dc=org
base shadow ou=users,dc=company,dc=org
base group ou=groups,dc=company,dc=org
scope passwd one
scope shadow one
scope group one
map group member uniqueMember
ssl start_tls
TLS_REQCERT allow
tls_cacertdir /etc/openldap/cacerts
/etc/nsswitch:
. . .
passwd: files sss ldap
shadow: files sss ldap
group: files sss ldap
. . .
/etc/pam.d/:
[root@centos7 pam.d]# ls -lah password-auth system-auth
lrwxrwxrwx. 1 root root 16 Aug 22 18:53 password-auth -> password-auth-ac
lrwxrwxrwx. 1 root root 14 Aug 22 18:53 system-auth -> system-auth-ac
/etc/pam.d/contraseña-auth:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password required pam_deny.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
password required pam_deny.so
/etc/system-auth:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password required pam_deny.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
password required pam_deny.so
Cuando estoy haciendo 'su - ldapuser' he entrado.
Pero desde ssh/console no puedo iniciar sesión.
nslcd -d:
nslcd: [e2a9e3] DEBUG: connection from pid=4867 uid=0 gid=0
nslcd: [e2a9e3] <passwd="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=posixAccount)(uid=ldapuser))")
nslcd: [e2a9e3] <passwd="ldapuser"> DEBUG: ldap_result(): cn=ldapuser,ou=users,dc=company,dc=org
nslcd: [e2a9e3] <passwd="ldapuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [45e146] DEBUG: connection from pid=4867 uid=0 gid=0
nslcd: [45e146] <passwd="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=posixAccount)(uid=ldapuser))")
nslcd: [45e146] <passwd="ldapuser"> DEBUG: ldap_result(): cn=ldapuser,ou=users,dc=company,dc=org
nslcd: [45e146] <passwd="ldapuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [5f007c] DEBUG: connection from pid=4867 uid=0 gid=0
nslcd: [5f007c] <passwd="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=posixAccount)(uid=ldapuser))")
nslcd: [5f007c] <passwd="ldapuser"> DEBUG: ldap_result(): cn=ldapuser,ou=users,dc=company,dc=org
nslcd: [5f007c] <passwd="ldapuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [d062c2] DEBUG: connection from pid=4867 uid=0 gid=0
nslcd: [d062c2] <passwd="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=posixAccount)(uid=ldapuser))")
nslcd: [d062c2] <passwd="ldapuser"> DEBUG: ldap_result(): cn=ldapuser,ou=users,dc=company,dc=org
nslcd: [d062c2] <passwd="ldapuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [200854] DEBUG: connection from pid=4867 uid=0 gid=0
nslcd: [200854] <authc="ldapuser"> DEBUG: nslcd_pam_authc("ldapuser","sshd","***")
nslcd: [200854] <authc="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=posixAccount)(uid=ldapuser))")
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_result(): cn=ldapuser,ou=users,dc=company,dc=org
nslcd: [200854] <authc="ldapuser"> DEBUG: myldap_search(base="cn=ldapuser,ou=users,dc=company,dc=org", filter="(objectClass=*)")
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_initialize(ldap://<my_ldap_server_ip>)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_rebind_proc()
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_TIMELIMIT,30)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_TIMEOUT,30)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,30)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_start_tls_s()
nslcd: [200854] <authc="ldapuser"> DEBUG: set_socket_timeout(30,500000)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_simple_bind_s("cn=ldapuser,ou=users,dc=company,dc=org","***") (uri="ldap://<my_ldap_server_ip>")
nslcd: [200854] <authc="ldapuser"> ldap_result() failed: No such object
nslcd: [200854] <authc="ldapuser"> cn=ldapuser,ou=users,dc=company,dc=org: lookup failed: No such object
nslcd: [200854] <authc="ldapuser"> DEBUG: set_socket_timeout(15,0)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_unbind()
nslcd: [200854] <authc="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=shadowAccount)(uid=ldapuser))")
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_result(): end of results (0 total)
diarioctl -xlf:
Feb 20 20:37:24 centos7.localdomain sshd[4965]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.1 user=ldapuser
Feb 20 20:37:24 centos7.localdomain sshd[4965]: pam_ldap(sshd:auth): Authentication failure; user=ldapuser
Feb 20 20:37:26 centos7.localdomain sshd[4965]: Failed password for goncharuk from 192.168.56.1 port 56663 ssh2
ACTUALIZACIÓN:Olvidé mostrar estos enlaces: He leído estos temas y no me ayudan:
centos-7-ldap-autenticación-permiso-denegado
El inicio de sesión de ldap falla pero su acceso a los usuarios de ldap funciona
Respuesta1
Finalmente, el problema ha sido resuelto.
Algunas breves antes de pasos concretos. Cualquiera sabe que el procedimiento de inicio de sesión LDAP siguió estos pasos:
Autenticación:
- Conexión al servidor LDAP.
- 'Vincular' como 'usuario de búsqueda'.
- Buscando usuario necesario.
- 'Vincular' como usuario desde el paso 3 con la contraseña correspondiente.
Autorización:
- Buscando atributos necesarios.
- Acceso
Si el inicio de sesión es incorrecto en el paso 3, aparecerá el mensaje "Usuario no encontrado".
Si la contraseña en el paso 4 es incorrecta, se generará el mensaje "Credenciales no válidas".
De hecho, NSLCD realiza todos estos pasos.
El paso 4 en NSLCD tiene una mejora por razones de seguridad. Después de 'vincular' como usuario encontrado, NSLCD intenta buscar en el usuario 'DN' con la base como 'DN' para asegurarse de que este 'DN' sea realmente el 'DN' del usuario 'vinculado'. Por ejemplo (solicitud 'ldapsearch'):
ldapsearch -w <user_passwd> -h <ldap_server_ip> -D "cn=ldapuser,ou=users,dc=company,dc=org" -b "cn=ldapuser,ou=users,dc=company,dc=org"
Este comportamiento fue descrito por el autor de nss-pam-ldapd al menos en estas fuentes:
¡Esto significa que el usuario que desee iniciar sesión a través de NSLCD debe tener permisos de búsqueda en su propio 'DN' LDAP!
En versiones de NSLCD anteriores a 0.9.x, este comportamiento no se podía modificar.
En la versión NSLCD que comienza desde 0.9.x es posible omitir la búsqueda en su propio 'DN' a través de'pam_authc_search NINGUNO'opción.
En mi caso, usar 'pam_authc_search NONE' realmente me ayuda, pero es necesario compilar e instalar el paquete 'nss-pam-ldapd' con una nueva versión. Ahora, estoy probando el inicio de sesión LDAP en VM con Centos 7. Tengo al menos 5 distribuciones diferentes y crear paquetes para cada una no es una buena solución. Además, las comprobaciones de inicio de sesión de dos factores (vinculación + búsqueda) son una herramienta de seguridad realmente necesaria. Entonces, cambié las ACL de mi servidor LDAP (OpenLDAP 2.4) a acceso de búsqueda general para usuarios en su propio 'DN' y ahora todo funciona bien:
/etc/openldap/slapd.conf:
. . .
access to attrs=userPassword
by self read
by anonymous auth
by * none
access to *
by self read
by dn="cn=searchuser,ou=users,dc=company,dc=org" read
by * none
. . .