用加密的服务器ldap帐号信息无法登陆客户机

merry_memory

centos4.4 openldap-2.2.13

设置服务器slapd.conf
access to *
            by self write
            by users read
            by anonymous auth

database bdb
suffix "dc=example,dc=com"
rootdn "cn=Manager,dc=example,dc=com"
rootpw {MD5}……

用移植工具将服务器上帐号信息/etc/passwd转换为ldif，并加入到数据库中，
启动ldap服务

用authconfig配置客户机
选择UseLDAP, use LDAP authentication, Server设置为服务器IP地址，BASE设置为dc=example,dc=com
重新启动，可以用服务器上帐号登入客户机


服务器端生成CA证书cacert.pem、服务器证书slapd-cert.pem、私钥slapd-key.pem，并将CA证书cacert.pem复制到客户端。
slapd.conf
TLSCipherSuite HIGH:MIDIUM:+SSLv2
TLSCACertificateFile /etc/openldap/cacerts/cacert.pem
TLSCertificateFile /etc/openldap/slapd-cert.pem
TLSCertificateKeyFile /etc/openldap/slapd-key.pem
TLSVerifyClient never

客户端在authconfig中加上USETLS
客户端/etc/openldap/ldap.conf增加
TLS_REQCERT never

客户端重新启动后
ldapsearch -x -D "uid=test,ou=People,dc=example,dc=com" -W可以看到数据库内容，说明此帐号被认证。
但是无法用此帐号login。



在客户端用服务器的CA证书生成自己的证书和私钥，并加入到/etc/ldap.conf的tls_cert和tls_key项中
服务器端的TLSVerifyClient设置为demand，客户端的TLS_REQCERT也设置为demand，用ldapsearch -x -D "uid=test,ou=People,dc=example,dc=com" -W仍然可以看到数据库内容。但是还是无法用此帐号登陆。

请问还需要哪里的设置？

py

ldapsearch -x -D "uid=test,ou=People,dc=example,dc=com" -W可以看到数据库内容

这说明OpenLDAP是正常的，找应用出的问题
看看pam的配置

merry_memory

#/etc/pam.d/system-auth
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        sufficient    /lib/security/$ISA/pam_ldap.so use_first_pass
auth        required      /lib/security/$ISA/pam_deny.so

account     required      /lib/security/$ISA/pam_unix.so broken_shadow
account     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account     [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so
account     required      /lib/security/$ISA/pam_permit.so

password    requisite     /lib/security/$ISA/pam_cracklib.so retry=3
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password    sufficient    /lib/security/$ISA/pam_ldap.so use_authtok
password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so
session     optional      /lib/security/$ISA/pam_ldap.so
--------------------------------------------------------------------------------
# /etc/nsswitch.conf
passwd:     files ldap
shadow:     files ldap
group:      files ldap

hosts:      files dns

bootparams: files
ethers:     files
netmasks:   files
networks:   files
protocols:  files ldap
rpc:        files
services:   files ldap
netgroup:   files ldap
publickey:  files
automount:  files ldap
aliases:    files
-------------------------------------------------------------------------------
#/etc/ldap.conf
host 服务器ip
base dc=example,dc=com
timelimit 120
bind_timelimit 120
idle_timelimit 3600
pam_password md5
---------------------------------------------------------------

neophiliac

I remember some traps should be done in your /etc/ldap.conf

merry_memory

把服务器端slapd.conf中acl设置为
access to attrs=userPassword
           by self write
           by * auth
access to * by * read
重新启动ldap
客户端就可以用服务器帐号登入了。
pam_ldap对服务器到底是一个什么样的操作？好像是匿名读取

ph19840216

我加了还是无法登陆。。。