openldap client 登录问题

韩云飞

ldap server 配置好了， slapd.conf 文件如下：
include                /usr/local/openldap/etc/openldap/schema/core.schema
include                /usr/local/openldap/etc/openldap/schema/collective.schema
include                /usr/local/openldap/etc/openldap/schema/corba.schema
include                /usr/local/openldap/etc/openldap/schema/cosine.schema
include                /usr/local/openldap/etc/openldap/schema/duaconf.schema
include                /usr/local/openldap/etc/openldap/schema/dyngroup.schema
include                /usr/local/openldap/etc/openldap/schema/inetorgperson.schema
include                /usr/local/openldap/etc/openldap/schema/java.schema
include                /usr/local/openldap/etc/openldap/schema/misc.schema
include                /usr/local/openldap/etc/openldap/schema/nis.schema
include                /usr/local/openldap/etc/openldap/schema/openldap.schema
include                /usr/local/openldap/etc/openldap/schema/pmi.schema
include                /usr/local/openldap/etc/openldap/schema/ppolicy.schema
pidfile                /usr/local/openldap/var/run/slapd.pid
argsfile        /usr/local/openldap/var/run/slapd.args
access to attrs=userPassword,shadowLastChange
        by dn="cn=admin,dc=qfmy,dc=cpm" write
        by anonymous auth
        by self write
        by * none
access to *
        by dn="cn=admin,dc=qfmy,dc=cpm" write
        by * read
database        bdb
suffix                "dc=qfmy,dc=com"
rootdn                "cn=admin,dc=qfmy,dc=com"
rootpw                {SSHA}xDpCGAwZzoT8/0fkfaTzZQ/44ScNeNVb       
directory        /usr/local/openldap/var/openldap-data
index        objectClass        eq


client配置：
setup 如下：
│  User Information        Authentication                         │                                
                                 │  [ ] Cache Information   

Use MD5 Passwords                  │                                
                                 │  

Use LDAP            

Use Shadow Passwords               │                                
                                 │  [ ] Use NIS            

Use LDAP Authentication            │                                
                                 │  [ ] Use IPAv2           [ ] Use Kerberos                       │                                
                                 │  [ ] Use Winbind         [ ] Use Fingerprint reader             │                                
                                 │                          [ ] Use Winbind Authentication         │                                
                                 │                          

Local authorization is sufficient  

   │          [ ] Use TLS                              │      .                                
                                        │  Server: ldap://192.168.16.6_____________________ │      .                                
                                        │ Base DN: dc=qfmy,dc=com___

/etc/pam.d/system-auth 文件内容：
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so

/etc/sysconfig/authconfig文件内容：
IPADOMAINJOINED=no
USEMKHOMEDIR=no
USEPAMACCESS=no
CACHECREDENTIALS=yes
USESSSDAUTH=no
USESHADOW=yes
USEWINBIND=no
PASSWDALGORITHM=md5
FORCELEGACY=no
USEFPRINTD=no
USEHESIOD=no
FORCESMARTCARD=no
USEDB=no
USELDAPAUTH=yes
IPAV2NONTP=no
WINBINDKRB5=no
USELOCAUTHORIZE=yes
USEECRYPTFS=no
USEIPAV2=no
USEWINBINDAUTH=no
USESMARTCARD=no
USELDAP=yes
USENIS=no
USEKERBEROS=no
USESYSNETAUTH=no
USESSSD=yes
USEPWQUALITY=yes
USEPASSWDQC=no

/etc/openldap/ldap.conf 文件内容：
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE        dc=example,dc=com
#URI        ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT        12
#TIMELIMIT        15
#DEREF                never

TLS_CACERTDIR /etc/openldap/cacerts

# Turning this off breaks GSSAPI used with krb5 when rdns = false
SASL_NOCANON        on
URI ldap://192.168.16.6
BASE dc=qfmy,dc=com

----------------------
问题是： 在  client 端可以利用 su - ldapuser3  登录 ，用SecureCRT连接client输入ldapuser3登陆不了，不知是哪里出错了，查看client:/var/log/secure日志报如下错误：
Nov 12 17:35:22 node1 unix_chkpwd[2128]: password check failed for user (ldapuser3)
Nov 12 17:35:22 node1 sshd[2126]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.16.1  user=ldapuser3
Nov 12 17:35:22 node1 sshd[2126]: pam_ldap(sshd:auth): Authentication failure; user=ldapuser3
Nov 12 17:35:24 node1 sshd[2126]: Failed password for ldapuser3 from 192.168.16.1 port 20551 ssh2
Nov 12 17:35:26 node1 unix_chkpwd[2129]: password check failed for user (ldapuser3)
Nov 12 17:35:26 node1 sshd[2126]: pam_ldap(sshd:auth): Authentication failure; user=ldapuser3
Nov 12 17:35:29 node1 sshd[2126]: Failed password for ldapuser3 from 192.168.16.1 port 20551 ssh2