У меня OpenLDAP 2.4.44 запущен на CentOS 7.4 с добавленным пользователем "tester". Я могу запросить пользователя и изменить пароль, но при аутентификации с помощью экрана входа GNOME всегда отклоняется. Я использовал этогидчтобы все устроить.
Для настройки системы я использовал следующие файлы LDIF:
db.ldif
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=example
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=ldapadm,dc=example
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: <omitted>
монитор.ldif
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=ldapadm,dc=example" read by * none
база.ldif
dn: dc=example
dc: example
objectClass: top
objectClass: domain
dn: cn=ldapadm,dc=example
objectClass: organizationalRole
cn: ldapadm
description: LDAP Manager
dn: ou=People,dc=example
objectClass: organizationalUnit
ou: People
dn: ou=Groups,dc=example
objectClass: organizationalUnit
ou: Groups
сертификаты.ldif(эти сертификаты были созданы, а владелец/группа изменены на ldap:ldap)
dn: cn=config
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/managerldapcert.pem
dn: cn=config
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/managerldapkey.pem
тестер.ldif
dn: uid=tester,ou=People,dc=example
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: tester
uid: tester
uidNumber: 9001
gidNumber: 100
homeDirectory: /home/tester
loginShell: /bin/bash
gecos: Tester Account
userPassword: {crypt}x
shadowLastChange: 0
shadowMax: 0
shadowWarning: 0
Чтобы отобразить информацию об учетной записи пользователя:
ldapsearch -x cn=tester -b dc=example
Ответ следующий:
# extended LDIF
#
# LDAPv3
# base <dc=example> with scope subtree
# filter: cn=tester
# requesting: ALL
#
# tester, People, example
dn: uid=tester,ou=People,dc=example
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: tester
uid: tester
uidNumber: 9001
gidNumber: 100
homeDirectory: /home/tester
loginShell: /bin/bash
gecos: Tester Account
shadowLastChange: 0
shadowMax: 0
shadowWarning: 0
userPassword:: <omitted>
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
Я могу изменить пароль следующим образом:
ldappasswd -H ldap:/// -x -D "cn=ldapadm,dc=example" -W -S "uid=tester,ou=People,dc=example"
Это запрашивает новый пароль пользователя (дважды) и пароль root LDAP, затем выходит. Я могу заметить, что пароль изменился, повторив запрос с помощью ldapsearch (где изменяется раздел userPassword::).
Я могу войти в учетную запись LDAP для проверки пароля, используя:
ldapwhoami -vvv -h ldapi:/// -p 389 -D "uid=tester,ou=People,dc=example" -x -W
Затем я настроил authconfig с помощью:
authconfig --enableldap --enableldapauth --ldapserver=servername.example --ldapbasedn="dc=example" --enablemkhomedir --update
Но когда я пытаюсь использовать экран входа в CentOS GNOME, пароль отклоняется.
В/var/log/безопасныйЯ вижу следующее:
pam_sss(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=tester
pam_sss(gdm-password:auth): received for user tester: 6 (Permission denied)
Что я пробовал, но безуспешно:
- Отключение SELinux (в качестве теста, а не как возможное решение)
- Установка
FORCELEGACY=yesв/etc/sysconfig/authconfigсоответствии с этимпочта - Использование
system-config-authenticationи другие предложения на этомсвязь - Установка сертификата, который я создал, используя предложениездесь
Мой вопрос... как CentOS 7 пытается войти в систему (и как мне эмулировать попытку входа с помощью ldapwhoami), и как это можно лучше отладить/протоколировать? Кажется ли мой пользовательский DN разумным (использование uid вместо cn для первой записи; я видел, как это делается обоими способами в разных руководствах)?
Любая помощь приветствуется!