[Gelöst] OPSI Admin Frontend & LDAP

[hawaii]

Hey @ll,

ich versuche aktuell unseren OPSI Server an unseren LDAP Server anzubinden, so dass ich dann bestimmten Usern Zugriff auf das OPSI Admin Frontend, sprich https://opsi:4447/configed/ geben kann.
Leider funktioniert das nicht so wie ich mir das vorgestellt habe....

Die LDAP Anbindung an sich funktioniert, sprich ich kann mich mit dem Testuser "test.einmal" lokal auf dem OPSI Server anmelden.
Also habe ich den User "test.einmal" einfach der lokalen Gruppe opsiadmin hinzugefügt:

Code: Alles auswählen

root@opsi:~# getent group opsiadmin
opsiadmin:x:1000:opsiconfd,adminuser,test.einmal

Wenn ich mich nun allerdings am Interface mit dem User anmelden will seh ich im Log folgende Fehlermeldung:

Code: Alles auswählen

[5] [Mar 10 11:01:58] New session created (session.py|75)
[5] [Mar 10 11:01:58] Authorization request from test.einmal@192.168.150.66 (application: opsi config editor 4.0.4.1.3) (workers.py|192)
[5] [Mar 10 11:02:02] Session '6mKNlJx8HPoTbtm73CDXr0HVEiVJVked' from ip '192.168.150.66', application 'opsi config editor 4.0.4.1.3' deleted (Session.py|211)
[2] [Mar 10 11:02:02] Traceback: (Logger.py|754)
[2] [Mar 10 11:02:02]      line 283 in '_errback' in file '/usr/lib/pymodules/python2.6/OPSI/Service/Worker.py' (Logger.py|754)
[2] [Mar 10 11:02:02]      line 441 in '_runCallbacks' in file '/usr/lib/python2.6/dist-packages/twisted/internet/defer.py' (Logger.py|754)
[2] [Mar 10 11:02:02]      line 257 in '_authenticate' in file '/usr/lib/pymodules/python2.6/opsiconfd/workers.py' (Logger.py|754)
[2] [Mar 10 11:02:02]      ==>>> Opsi authentication error: Forbidden: Backend authentication error: Backend authentication error: PAM authentication failed for user 'test.einmal': ('Authentication failure', 7) (Worker.py|285)

Kann da jemand was mit anfangen oder mir irgendwie auf die Sprünge helfen?

Grüßle,
Kai

[thomas.besser]

Versuch mal den User auch in die lokale Gruppe 'pcpatch' mit aufzunehmen.

[hawaii]

Hallo Thomas,

Danke, aber leider hat das auch nichts geholfen, mittlerweile bin ich noch auf das hier gestoßen:
http://download.uib.de/opsi4.0/doc/html ... tification

Leider führt das auch nicht zum gewünschten Ergebnis....irgendwie bin ich grad ziemlich ratlos

[thomas.besser]

Danke, aber leider hat das auch nichts geholfen, mittlerweile bin ich noch auf das hier gestoßen:
http://download.uib.de/opsi4.0/doc/html ... tification

Ah stimmt, das ist bei uns auch per se eingerichtet

[ueluekmen]

Hi,

der opsiconfd Benutzer muss in der Lage sein, dass LDAP ab zu fragen, zumindest Teile davon. Probier mal folgendes:

Geh als root auf deinen Server und führe danach:

Code: Alles auswählen

su - opsiconfd
getent group

aus. Jetzt solltest du auch die LDAP-Gruppen sehen, wenn nicht wird es schwierig. Du solltest dann die Gruppen auch im LDAP anlegen, zumindest machen wir das so. Aber so eine Anbindung ist nicht ganz einfach. Vielleicht schreiben wir mal eine Anleitung dazu, wenn wir mal Zeit haben.

[hawaii]

Das ist korrekt, der opsiconfd user kann die ldap user/gruppen nicht sehen, sondern nur root.
Wenn mich nicht alles täuscht liegt das an der Tatsache, dass unser LDAP Server keine anonymen Bindings zulässt.

Aber jetzt weiss ich zumindest mal wo ich weitergraben muss Danke für den Hinweis!

[thomas.besser]

Auf was für einem Linux hast du das Problem?

Auch unser LDAP ist nicht anonym lesbar. Der 'nslcd' Dienst (Debian Wheezy) kennt aber die Zugangsdaten.

[hawaii]

Das Ganze läuft auf 'nem Debian Squeeze und ich hab jetzt noch mal die nslcd config durchgeschaut und dabei tatsächlich noch einen Fehler gefunden.
Danke für den Hinweis zum nslcd, hab gestern wohl den Wald vor lauter Bäumen nicht mehr gesehen

Zumindest sieht jetzt der opsiconfd User auch alle Gruppen inkl. LDAP wenn ich das Ganze mit getent group abfrage.
Allerdings funktioniert die Authentifizierung gegenüber dem Webinterface leider noch nicht. Es bleibt beim PAM Authentication Error.

Habt ihr noch Änderungen an /etc/pam.d/common-auth vorgenommen?

[thomas.besser]

die /etc/pam.d/common-auth sieht so aus:

Code: Alles auswählen

auth    sufficient      pam_ldap.so
auth    required        pam_unix.so nullok_secure

Da fällt mir ein. Nach dem Upgrade vor Kurzem (squeeze -> wheezy) hats bei mir zunächst auch nicht mehr funktioniert. Ich habe dann auf die Schnelle die 'common-auth' sowie die anderen drei von der früheren squeeze-Installation wieder reaktiviert und dann ging es wieder.

[hawaii]

Ok, common-auth hat noch nichts geholfen, könntest du mir kurz eure ganzen common-* Dateien posten?
Weil wenn das bei euch unter Squeeze lief muss ich das hier ja auch hinbekommen