请教Unix 帐号无法通过ldap认证的问题

oldrock

我用tivoli directory server搭了一个ldap server。

然后分别在aix和solaris上配ldap client（完成后将配hpux上的），配完后，能查询到ldap server建的帐号，但无法登陆，具体如下：
AIX5.3： 假如在 /etc/security/ldap/ldap.cfg文件里，把 auth_type 设为 unix_auth，就无法登陆，假如设为 ldap_auth，就可以登陆。
Solaris9:用 ldaplist 能列出LDAP server上的用户，但没法登陆。

我怀疑是不是和密码存储时的加密方式有关,不知道是不是正确?

望各位大侠不吝赐教，先谢过了!

oldrock

tivoli directory server 支持solaris的client吗？

py

理论上和client端的系统没有关系的，tivoli directory server 没用过，不好说

oldrock

多谢py。
这个问题解决了：
首先server上的加密方式要设为 crypt。这样aix5.2和5.3就能用unix_auth来认证了。

其次，关于solaris，除了上述操作，还要在solaris ldap client上加上 -a credentiallevel＝proxy，这样才能从ldap server上得到密码

py

原帖由 oldrock 于 2006-11-15 10:57 发表
多谢py。
这个问题解决了：
首先server上的加密方式要设为 crypt。这样aix5.2和5.3就能用unix_auth来认证了。

其次，关于solaris，除了上述操作，还要在solaris ldap client上加上 -a credentiallevel＝prox ...

一个很有价值的结果, 以前没试过用solaris当client的情况

lihlw

我正在用tivoli directory server 在一台RedHat3.0上搭建了一个ldap server。在client端，只有solaris和RH linux的client，但是在solaris上配置ldap client不成功，看到你的帖子想问问你都做了什么配置。

lihlw

对了，忘了说，我曾经问过IBM的工程师，TDS可以支持solaris客户端。

oldrock

是的，支持的。
Solaris 9/10

#ldapclient manual -a credentialLevel=proxy -a authenticationMethod=simple -a proxyDN=your_admin_dn -a proxyPassword＝your_passwd -a defaultSearchBase=your_search_base -a defaultSearchScope=sub -a serviceAuthenticationMethod=passwd:simple -a serviceSearchDescriptor=passwd:your_ou?one -a serviceSearchDescriptor=group:your_grp_ou -a defaultServerList=your_serverlist

Solaris8:
# ldapclient -i -a simple -b ou=your_ou -D cn=your_admin_dn -w yourpasswd -s sub -c proxy -S passwdu=your_ou?one -S groupu=your_grp_ou -A passwd:simple your_LDAP_server


配好后，可以用以下命令check：
# getent passwd test_user

#ldaplist -l passwd test_user ，假如能返回用户的加密密码，应该就差不错能登陆了

BTW,我没配SSL，TSL