[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:43881] Re: LDAPを用いたsshログイン



小林です。

# sarge の slapd は、「どこそこの IP アドレスからどういう base どういう
# filter でもって検索をかけてきたか」という情報を syslog に出力しないよ
# うですが、この verbosity を高める方法はあるのでしょうか。自分ではまだ
# 検索したり調べたりしてません、ごめんなさい。でもご存知の方がいらっしゃ
# ったら是非教えてください。この出力があると問題解決が非常にやりやすいの
# です。

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=21648&forum=10
ここの MTL というハンドルは吉田さんでしょうか。

もしそうなら、「前にどこそこで質問したのですが解決しませんでした」と書いても
らえると嬉しいです。そうでないと重複した議論を行うことになってしまいますから。

で、上の掲示板(3ページあります)読みましたが、LDAP でアカウント・パスワード管
理するときの定石は書き尽くされているように思います。

なので、私からのお願いですが、LDAP サーバ(兼クライアント)の上で

ldapsearch -x -b "dc=ldap,dc=com"
id ldap
cat /etc/ldap/slapd.conf
cat /etc/libnss-ldap.conf
cat /etc/pam_ldap.conf
cat /etc/nsswitch.conf
cat /etc/ssh/sshd_config
cat /etc/pam.d/ssh

の各コマンドの実行結果を (stderr 出力も込めて)貼り付けてください。
id ldap は /etc/passwd からアカウント ldap を削除した状態で実行のこと。
さらにアカウント情報がキャッシュされてたりすると面倒なので、/etc/passwd
編集後できればサーバになってるマシンを再起動してから実行してください。
("dc=ldap,dc=com" というのは吉田さんのところの BASE_DN だそうです。)

あと、ログインに失敗した後の /var/log/auth.log の出力も掲載してもらえると
参考になるかもしれません。

余談ですが、slapd の起動は /etc/init.d/slapd start でお願いします。

吉田さんが何が分かっていないのか私にはよく分からないので確認ですが、
A というマシンを LDAP サーバにし、同一マシン上で ssh localhost -l ldap を実
行したとき、ログインに失敗するということでよろしいでしょうか。

別の B というマシンを LDAP クライアントにして A を参照するようにするという話
は今は混乱の元なのでやらないことにします。

-- 
Tetsuya KOBAYASHI <tkoba@xxxxxxxxxxxxxxxxxxxxxxx>