Авторизация ssh из Active Directory (libnss-ldad)

[deniss]

Првиет всем.
столкнулся с проблемой авторизации ssh через АД.
OS: Debian 8.5
Установил libnss-ldad
cat /etc/nslcd.conf:

Код Выделить Развернуть


# /etc/nslcd.conf
# nslcd configuration file. See nslcd.conf(5)
# for details.

# The user and group nslcd should run as.
uid nslcd
gid nslcd
+ Вложения и другие параметры
подсказка: нажмите alt+s для отправки или alt+p для предварительного просмотра сообщения


# The location at which the LDAP server(s) should be reachable.
uri ldap://rodc1.example.lcl
uri ldap://rodc2.example.lcl

# The search base that will be used for all queries.

base DC=example,DC=lcl
base passwd OU=General,DC=example,DC=lcl
base shadow OU=General,DC=example,DC=lcl
base group OU=General,DC=example,DC=lcl

# The LDAP protocol version to use.
#ldap_version 3

# The DN to bind with for normal lookups.
binddn CN=Read User,OU=General,DC=example,DC=lcl
bindpw <password>

# The DN used for password modifications by root.
#rootpwmoddn cn=admin,dc=example,dc=com

# SSL options
#ssl off
#tls_reqcert never
#tls_cacertfile /etc/ssl/certs/ca-certificates.crt

# The search scope.
scope sub

pagesize 1000
referrals off

filter passwd (&(objectClass=person)(!(userAccountControl=514))(|(memberOf=CN=OU=General,DC=example,DC=lcl)))
map passwd uid sAMAccountName
map passwd homeDirectory unixHomeDirectory
map passwd gecos displayName

filter shadow (&(objectClass=person)(!(userAccountControl=514))(|(memberOf=CN=OU=General,DC=example,DC=lcl)))
map shadow uid sAMAccountName
map shadow shadowLastChange pwdLastSet
filter group (&(objectClass=group)(gidNumber=*))



cat /etc/nsswitch.conf:

Код Выделить Развернуть



# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
#
#passwd:         compat
#group:          compat
#shadow:         compat
#gshadow:        files
#
#hosts:          files dns
#networks:       files
#
#protocols:      db files
#services:       db files
#ethers:         db files
#rpc:            db files
#
#netgroup:       nis

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap
hosts:          files dns
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis



запустил pam-auth-update
запустил nslcd и nscd


в логах ругается:

Код Выделить Развернуть


Jun 26 13:39:56 z nscd: nss_ldap: failed to bind to LDAP server ldapi:///: Can't contact LDAP server
Jun 26 13:39:56 z nscd: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Jun 26 13:39:57 z nscd: nss_ldap: could not connect to any LDAP server as (null) - Can't contact LDAP server


Код Выделить Развернуть


Jun 27 18:26:01 z nslcd[25360]: Starting LDAP connection daemon: nslcdnslcd: Warning: NSS_LDAP version missing: /lib/x86_64-linux-gnu/libnss_ldap.so.2: undefined symbol: _nss_ldap_version
Jun 27 18:26:01 z nslcd[25360]: nslcd: Warning: /lib/x86_64-linux-gnu/libnss_ldap.so.2: undefined symbol: _nss_ldap_enablelookups (probably older NSS module loaded)
Jun 27 18:26:01 z nslcd[25369]: version 0.9.4 starting


И соответственно не авторизирует юзеров из АД.

Подскажите что не так настроено?

[CoolAller]

deniss, а ниче что раздел в который вы пишите называется "Документы, HOWTO, советы и хитрости"? Здесь публикуют документацию и инструкции, вопросы задаются в профильных темах. Удалите тему и пересоздайте в правильном разделе.

[deniss]

deniss, а ниче что раздел в который вы пишите называется "Документы, HOWTO, советы и хитрости"? Здесь публикуют документацию и инструкции, вопросы задаются в профильных темах. Удалите тему и пересоздайте в правильном разделе.

Сорри, я создал тему, не посмотрев названия раздела, а темерь переместить не могу.
Просьба модераторам переместить мою тему в нужный разел.

Спасибо

[deniss]

разобрался, надо было обновить libnss-ldapd

ошибки эти исчезли, но все равно не пускает по ссш,
в логах:

Код Выделить Развернуть


Jun 28 23:56:41 z login[8935]: pam_unix(login:auth): authentication failure; logname=deniss uid=0 euid=0 tty=/dev/pts/2 ruser= rhost=  user=username
Jun 28 23:56:41 z login[8935]: pam_ldap: could not open secret file /etc/pam_ldap.secret (Нет такого файла или каталога)
Jun 28 23:56:41 z login[8935]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Jun 28 23:56:41 z login[8935]: pam_ldap: reconnecting to LDAP server...
Jun 28 23:56:41 z login[8935]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Jun 28 23:56:43 z login[8935]: FAILED LOGIN (1) on '/dev/pts/2' FOR 'username', Authentication failure