OPSI Admin Frontend & LDAP nach Update auf 4.0.6

[hawaii]

Hallo,

wir hatten in den bisherigen OPSI Versionen unseren LDAP erfolgreich an das OPSI Admin Frontend angeschlossen und das hat auch problemlos funktioniert.

Siehe: viewtopic.php?f=7&t=5927

Seit ich heute früh die neue Version eingespielt habe, kann ich mich mit LDAP Accounts nicht mehr am OPSI Frontend anmelden.
Im syslog sehe ich folgende Meldung:

Code: Alles auswählen

Oct  5 15:55:41 opsi nslcd[7854]: [838cb2] <authc="user1"> uid=user1,ou=people,dc=moll,dc=bioinsel: "${shadowMax:--1}": password expired 529 days ago

Vielleicht hat ja jemand auch schon den Schritt auf 4.0.6 gewagt und hatte das Problem auch schon

[thomas.besser]

Hab 4.0.6 auf einem OPSI-Testing-System (viewtopic.php?f=7&t=7730) mit LDAP am Laufen. NSS & PAM wird dort aber mit 'sssd' umgesetzt. Aber das sollte eigentlich keinen großen Unterschied machen.

Aber deine Fehlermeldung lässt mich eher dran zweifeln, dass es daran liegt!?

[hawaii]

Ja wir haben es ja damals auch zusammen zum Laufen bekommen. Ich nutz den LDAP halt noch für jede Menge andere Services ohne Probleme und diese Meldung hab ich so auch noch nie gesehen.....aber ja auch ich finde sie seltsam....
Problem besteht halt jetzt erst seit dem Update....

[thomas.besser]

Hab ich es richtig im Kopf, du bist jetzt auf Debian Wheezy?

Mh, mein produktiver OPSI läuft auch noch auf Wheezy und nutzt nslcd bzw. libpam-ldapd, ohne Probleme. Aber ich erinnere mich dunkel an das Upgrade squeeze -> wheezy, da war was mit pam auth Problemen.

Ich glaube es lief erst dann wieder, als ich 'common-auth', 'common-account', 'common-session' von squeeze wieder zurückgeschrieben hatte.

[hawaii]

Danke für den Input. Ich hab jetzt mal in einem der betroffenen LDAP Accounts shadowMax auf -1 gesetzt und siehe da er kann sich anmelden.
'common-auth', 'common-account' und 'common-session' konnte ich jetzt wie nach dem Upgrade belassen.

Wäre noch zu klären warum sich der LDAP Client da nun so verhält, dass er nur User mit shadowMax -1 zulässt. Wobei ich mich dunkel erinnern kann mal gelesen zu haben, dass das bei manchen LDAP Clients bugged.