#1 Le 12/02/2015, à 09:43
- Florent Flo
[RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Bonjour à tous,
Voilà, je suis au bord de la crise de nerf. Plus d'une semaine que j'essaye de mettre en place un serveur LDAP avec hébergement des /home sur le serveur, mais rien à faire.
J'ai essayé la version classique (LDAP + NFS) : j'ai suivi le tuto de digitalocean : https://www.digitalocean.com/community/ … s,andUsers mais mes utilisateurs ne s'affichent pas sur l'écran de connexion (serveur LDAP injoignable selon /var/log/auth.log) alors que getent passwd m'affiche bien mes utilisateurs LDAP.
J'ai essayé une version plus complète et surtout sans libpam-ldap : Kerberos + sssd + ldap + nfs. Tout marche a priori bien sur le serveur, mais serveur injoignable par le client... (J'ai un peu de mal avec Kerberos). http://www.danbishop.org/2015/01/30/ubu … r-guide/7/
Bref, y'a toujours un truc qui coince. Alors soit je suis neuneu, soit les rédacteurs de tuto ne testent pas vraiment ce qu'ils rédigent (et ça m'énerve ).
Ma question pour faire simple : avez-vous un guide, testé et approuvé, qui me permet de mettre en place un simple LDAP (même sans partage de /home, j'arriverai à me débrouiller pour ça). C'est surtout la configuration cliente qui me pose problème...
Merci beaucoup beaucoup beaucoup
Florent
Dernière modification par Florent Flo (Le 21/02/2015, à 00:00)
Hors ligne
#2 Le 12/02/2015, à 10:54
- pires57
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Utilises openldap.
Non je n'ai pas de tuto pour ldap, je n'utilise que les docs officiel
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#3 Le 12/02/2015, à 12:06
- Florent Flo
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
J'utilise bien OpenLdap. La configuration au niveau du serveur fonctionne. Mais impossible de se logguer côté client.
getent passwd me renvoie bien mes utilisateurs (sur le serveur et les clients), mais aucun n'est listé sur l'écran de connexion... Donc soit le client est mal configuré, soit les deux n'arrivent pas à correctement communiquer ensemble :'(
Le plus étrange, c'est que ça fonctionne très bien sur les clients sous VirtualBox.... Y'a que les clients physiques qui déconnent...
Edit : Ca finit par ne plus fonctionner sur les clients virtuels non plus.
Dernière modification par Florent Flo (Le 18/02/2015, à 14:45)
Hors ligne
#4 Le 12/02/2015, à 12:59
- pires57
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Les heures sont les même partout? Il est important d'avoir les heures avec le moins de décalage possible entre serveur et client, si le décalage est trop important cela ne marche pas.
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#5 Le 12/02/2015, à 13:28
- Florent Flo
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Ouep, étant donné que c'est des install fresh de partout, heure synchro à la seconde (vérifié en tapant "date" dans un terminal).
J'ai des erreurs dans le /var/log/auth.log. Jles poste dès que j'ai 30 sec
Hors ligne
#6 Le 17/02/2015, à 21:55
- Florent Flo
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Re ! Voilà les logs dans /var/log/auth.log au démarrage :
Feb 17 21:33:50 PC1 sh: nss_ldap: could not connect to any LDAP server as cn=admin,dc=example,dc=local - Can't contact LDAP server
Feb 17 21:33:50 PC1 sh: nss_ldap: failed to bind to LDAP server ldap://192.168.0.22: Can't contact LDAP server
Feb 17 21:33:50 PC1 sh: nss_ldap: reconnecting to LDAP server...
Feb 17 21:33:50 PC1 sh: nss_ldap: could not connect to any LDAP server as cn=admin,dc=example,dc=local - Can't contact LDAP server
Feb 17 21:33:50 PC1 sh: nss_ldap: failed to bind to LDAP server ldap://192.168.0.22: Can't contact LDAP server
Feb 17 21:33:50 PC1 sh: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Feb 17 21:33:51 PC1 sh: nss_ldap: could not connect to any LDAP server as cn=admin,dc=example,dc=local - Can't contact LDAP server
Feb 17 21:33:51 PC1 sh: nss_ldap: failed to bind to LDAP server ldap://192.168.0.22: Can't contact LDAP server
Feb 17 21:33:51 PC1 sh: nss_ldap: could not search LDAP server - Server is unavailable
Feb 17 21:33:51 PC1 sh: nss_ldap: could not connect to any LDAP server as cn=admin,dc=example,dc=local - Can't contact LDAP server
Feb 17 21:33:51 PC1 sh: nss_ldap: failed to bind to LDAP server ldap://192.168.0.22: Can't contact LDAP server
Feb 17 21:33:51 PC1 sh: nss_ldap: reconnecting to LDAP server...
Feb 17 21:33:51 PC1 sh: nss_ldap: could not connect to any LDAP server as cn=admin,dc=example,dc=local - Can't contact LDAP server
Feb 17 21:33:51 PC1 sh: nss_ldap: failed to bind to LDAP server ldap://192.168.0.22: Can't contact LDAP server
Feb 17 21:33:51 PC1 sh: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Feb 17 21:33:52 PC1 sshd[968]: Server listening on 0.0.0.0 port 22.
Feb 17 21:33:52 PC1 sshd[968]: Server listening on :: port 22.
Feb 17 21:33:52 PC1 lightdm: PAM unable to dlopen(pam_kwallet.so): /lib/security/pam_kwallet.so: cannot open shared object file: No such file or directory
Feb 17 21:33:52 PC1 lightdm: PAM adding faulty module: pam_kwallet.so
Feb 17 21:33:52 PC1 lightdm: pam_unix(lightdm-greeter:session): session opened for user lightdm by (uid=0)
Feb 17 21:33:52 PC1 lightdm: PAM unable to dlopen(pam_kwallet.so): /lib/security/pam_kwallet.so: cannot open shared object file: No such file or directory
Feb 17 21:33:52 PC1 lightdm: PAM adding faulty module: pam_kwallet.so
Feb 17 21:33:52 PC1 lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "adminlocal"
Feb 17 21:33:52 PC1 sh: nss_ldap: could not connect to any LDAP server as cn=admin,dc=example,dc=local - Can't contact LDAP server
Feb 17 21:33:52 PC1 sh: nss_ldap: failed to bind to LDAP server ldap://192.168.0.22: Can't contact LDAP server
Feb 17 21:33:52 PC1 sh: nss_ldap: could not search LDAP server - Server is unavailable
Feb 17 21:33:54 PC1 dbus[431]: [system] Rejected send message, 7 matched rules; type="method_return", sender=":1.42" (uid=0 pid=1518 comm="/usr/sbin/dnsmasq --no-resolv --keep-in-foreground") interface="(un$
Feb 17 21:34:04 PC1 dbus[431]: [system] Rejected send message, 7 matched rules; type="method_return", sender=":1.42" (uid=0 pid=1518 comm="/usr/sbin/dnsmasq --no-resolv --keep-in-foreground") interface="(un$
Feb 17 21:34:18 PC1 sshd[1728]: Accepted password for adminlocal from 192.168.0.53 port 61914 ssh2
Feb 17 21:34:18 PC1 sshd[1728]: pam_unix(sshd:session): session opened for user adminlocal by (uid=0)
Feb 17 21:34:44 PC1 sudo: pam_unix(sudo:auth): authentication failure; logname=adminlocal uid=1000 euid=0 tty=/dev/pts/1 ruser=adminlocal rhost= user=adminlocal
Feb 17 21:34:49 PC1 sudo: adminlocal : TTY=pts/1 ; PWD=/home/adminlocal ; USER=root ; COMMAND=/usr/bin/nano /var/log/nscd.log
Feb 17 21:34:49 PC1 sudo: pam_unix(sudo:session): session opened for user root by adminlocal(uid=0)
Feb 17 21:34:51 PC1 sudo: pam_unix(sudo:session): session closed for user root
Mon serveur LDAP retourne cependant bien mon utilisateur test :
adminlocal@PC1:~$ getent passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
libuuid:x:100:101::/var/lib/libuuid:
syslog:x:101:104::/home/syslog:/bin/false
messagebus:x:102:106::/var/run/dbus:/bin/false
usbmux:x:103:46:usbmux daemon,,,:/home/usbmux:/bin/false
dnsmasq:x:104:65534:dnsmasq,,,:/var/lib/misc:/bin/false
avahi-autoipd:x:105:113:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/bin/false
kernoops:x:106:65534:Kernel Oops Tracking Daemon,,,:/:/bin/false
rtkit:x:107:114:RealtimeKit,,,:/proc:/bin/false
saned:x:108:115::/home/saned:/bin/false
whoopsie:x:109:116::/nonexistent:/bin/false
speech-dispatcher:x:110:29:Speech Dispatcher,,,:/var/run/speech-dispatcher:/bin/sh
avahi:x:111:117:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
lightdm:x:112:118:Light Display Manager:/var/lib/lightdm:/bin/false
colord:x:113:121:colord colour management daemon,,,:/var/lib/colord:/bin/false
hplip:x:114:7:HPLIP system user,,,:/var/run/hplip:/bin/false
pulse:x:115:122:PulseAudio daemon,,,:/var/run/pulse:/bin/false
adminlocal:x:1000:1000:adminlocal,,,:/home/adminlocal:/bin/bash
sshd:x:116:65534::/var/run/sshd:/usr/sbin/nologin
utest:*:10000:500:Utilisateur Test:/home/users/utest:
et je peux me connecter en ssh à la machine avec mon utilisateur LDAP..
Que ce soit sous Linux Mint ou Ubuntu, mon "Utilisateur Test" n'est pas disponible à l'écran de login...
Très franchement, je ne sais plus quoi googler... :'(
Merci pour votre aide
Dernière modification par Florent Flo (Le 18/02/2015, à 00:39)
Hors ligne
#7 Le 18/02/2015, à 14:39
- Florent Flo
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
J'ai suivi un autre guide : https://help.ubuntu.com/lts/serverguide … erver.html
Ca a marché 20min, le temps de configurer les deux premières machines. La troisième machine m'affiche la même chose que mon poste précédent. Après redémarrage des deux premières, idem, mon utilisateur LDAP ne s'affiche plus.
Bref, il n'y a pas un guide qui traite mon problème. Du coup, je réfléchi à la particularité de mon réseau. La seule chose "exceptionnelle", c'est que mon serveur LDAP est virtuel (kvm). Est-ce que le serveur hôte bloquerait des ports ou autres ?
Un telnet 192.168.0.22 389 fonctionne bien. getent passwd aussi fonctionne bien...
C'est quoi le problème avec lightDM ?
Hors ligne
#8 Le 18/02/2015, à 20:34
- Florent Flo
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Bon, j'ai refais mon install en transformant un de mes clients physique en serveur pour avoir un serveur physique et voir si le problème peut venir de la virtualisation...
Mauvaise nouvelle : toujours les mêmes erreurs :'(
Personne n'a installé de LDAP sous Ubuntu 14.04 ?
Hors ligne
#9 Le 19/02/2015, à 10:05
- src
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Salut
Dans tes logs il y a ça :
Feb 17 21:33:51 PC1 sh: nss_ldap: could not connect to any LDAP server as cn=admin,dc=example,dc=local - Can't contact LDAP server
Feb 17 21:33:51 PC1 sh: nss_ldap: failed to bind to LDAP server ldap://192.168.0.22: Can't contact LDAP server
Donc peut-être que ton serveur LDAP marche mais tes clients n'arrivent pas à s'y connecter.
Actuellement sur Manjaro Xfce (amd64)
Hors ligne
#10 Le 19/02/2015, à 14:46
- Florent Flo
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Salut src,
En effet, c'est pour ça que j'ai posté mes log. Google me sort des sujet de 2006 ou 2009 avec ces logs, sans réelle solution. Parmi tout ce que j'ai pu testé, j'ai réussi à supprimer ce message, mais ça l'a plus masqué que corrigé puisqu'il m'était toujours impossible de me connecter avec un utilisateur LDAP.
Et le plus étrange, c'est que lorsque l'installation vient d'être terminée, ça marche. Mais au bout d'un certain temps, sans rien faire de particulier, hop, ça ne marche plus et m'affiche ça dans les logs... Je pense que le service plante côté serveur (puisque tous les clients m'affichent ça en même temps), et un redémarrage du serveur (et des clients) ne règle pas le problème...
J'ai décris toute la procédure pour reproduire le problème sur https://askubuntu.com/questions/587068/ … untu-14-04
Si quelqu'un a le courage de monter 2 VM...
Hors ligne
#11 Le 19/02/2015, à 17:40
- src
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Je ferai un essai si j'ai le temps, mais je vois deux possibilités :
1. ton serveur n'écoute qu'en 127.0.0.1
2. ton client se connecte avec un user non autorisé à lire le ldap
Actuellement sur Manjaro Xfce (amd64)
Hors ligne
#12 Le 19/02/2015, à 18:18
- Florent Flo
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Je vais creuser de ce côté. Cependant, pour lister mes utilisateurs LDAP à l'aide de getent passwd, le client a bien les droit pour interroger le serveur LDAP, non ? De même, sans ça, je ne pourrais pas me connecter au client en ssh à l'aide d'un compte créé sur le serveur...
Moi je pense plutôt à un problème lié à lightDM, GDM ou MDM (car même problème sur Ubuntu, Linux Mint ou Ubuntu Gnome).
Merci pour ton aide en tout cas...
Hors ligne
#13 Le 20/02/2015, à 21:03
- LeoMajor
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Et le plus étrange, c'est que lorsque l'installation vient d'être terminée, ça marche. Mais au bout d'un certain temps, sans rien faire de particulier, hop, ça ne marche plus et m'affiche ça dans les logs... Je pense que le service plante côté serveur (puisque tous les clients m'affichent ça en même temps), et un redémarrage du serveur (et des clients) ne règle pas le problème...
Cela ressemble à un problème lié à libpam-quelquechose. L'activation du nouveau back-end d'authentification se fait au bout de 10/15 minutes, hors sortie de session ou reboot. En réalité, "lorsque l'installation vient d'être terminée, ça marche", tu es toujours sous l'ancien régime, l'ancien backend d'authentification. Le délai d'activation d'une libpam-quelquechose, correspond à peu près, à la durée mémorisation du mot de passe & sudo ( 15 minutes d'après sudoers ). Attention aux fichiers sous /etc/pam.d/common-*, qui ont une portée sur tout le système. Il y a des risques de perdre le contrôle sur la machine, si le nouveau backend est mal maitrisé . Il est plus judicieux de faire les tests, par exemple, sous /etc/pam.d/ssh, et voir si telle configuration .... pam_quelquechose.so... fonctionne.
> problème de configuration libpam-ldap* ou ldap.
Hors ligne
#14 Le 20/02/2015, à 23:51
- Florent Flo
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Re !
Bon, j'aurai mis deux semaine de recherches intensives pour m'appercevoir... que ça marchait *pan*
Je m'explique : le message nss_ldap qui n'arrive pas à se connecter au serveur ldap se produit aussi sur mon serveur LDAP... -_-
J'avais réussi à me débarrasser de ce message d'erreur sans régler mon problème pour autant. Sur un autre guide (http://getsysinfo.com/fr/ldap-comment-installer-openldap-sous-debian-ou-ubuntu/ ), une réponse m'a mis la puce à l'oreille : je ne vois pas ma liste d'utilisateur (sans la désactiver explicitement), certes, mais puis-je me connecter en saisissant l'utilisateur directement ? Sous linux mint, il est relativement simple de changer l'écran de login (mdmsetup), j'ai fais mes tests sur cette machine : Certains me disent que l'utilisateur n'existe pas et d'autres... me connectent !!!!
Du coup, j'ai pris un theme MDM qui fonctionnait avec mes utilisateurs LDAP, et je l'ai customisé pour qu'il soit beau. Et voilà, ça marche, je peux me connecter avec mes utilisateurs, et nss_ldap me dit toujours qu'il n'y y arrive pas...
Il y a quand même pas mal de problème avec ces écrans de connexion. LDAP n'est pas non plus une nouvelle techno... Mes utilisateurs LDAP qui s'affichent au début et disparaissent après quelques reboots, ce message nss_ldap qui est remonté sur des forums depuis 10 ans (sans réelle solution à part désactiver LDAP)... Bref, je m'en suis sorti. Mais j'en ai bavé.
En tout cas, un grand grand merci d'avoir pris le temps de m'aider, il suffit parfois de pas grand chose pour s'orienter sur une nouvelle piste.
Bonne nuit
Hors ligne
#15 Le 05/06/2024, à 15:10
- sunmetis
Re : [RESOLU] Utilisateurs LDAP non visible sur l'écran de connexion
Salut florent … meme galere en 2024 peux tu me filer une aide . Merci
Hors ligne