Seite 1 von 3
[Gelöst] OPSI Admin Frontend & LDAP
Verfasst: 10 Mär 2014, 11:16
von hawaii
Hey @ll,
ich versuche aktuell unseren OPSI Server an unseren LDAP Server anzubinden, so dass ich dann bestimmten Usern Zugriff auf das OPSI Admin Frontend, sprich
https://opsi:4447/configed/ geben kann.
Leider funktioniert das nicht so wie ich mir das vorgestellt habe....
Die LDAP Anbindung an sich funktioniert, sprich ich kann mich mit dem Testuser "test.einmal" lokal auf dem OPSI Server anmelden.
Also habe ich den User "test.einmal" einfach der lokalen Gruppe opsiadmin hinzugefügt:
Code: Alles auswählen
root@opsi:~# getent group opsiadmin
opsiadmin:x:1000:opsiconfd,adminuser,test.einmal
Wenn ich mich nun allerdings am Interface mit dem User anmelden will seh ich im Log folgende Fehlermeldung:
Code: Alles auswählen
[5] [Mar 10 11:01:58] New session created (session.py|75)
[5] [Mar 10 11:01:58] Authorization request from test.einmal@192.168.150.66 (application: opsi config editor 4.0.4.1.3) (workers.py|192)
[5] [Mar 10 11:02:02] Session '6mKNlJx8HPoTbtm73CDXr0HVEiVJVked' from ip '192.168.150.66', application 'opsi config editor 4.0.4.1.3' deleted (Session.py|211)
[2] [Mar 10 11:02:02] Traceback: (Logger.py|754)
[2] [Mar 10 11:02:02] line 283 in '_errback' in file '/usr/lib/pymodules/python2.6/OPSI/Service/Worker.py' (Logger.py|754)
[2] [Mar 10 11:02:02] line 441 in '_runCallbacks' in file '/usr/lib/python2.6/dist-packages/twisted/internet/defer.py' (Logger.py|754)
[2] [Mar 10 11:02:02] line 257 in '_authenticate' in file '/usr/lib/pymodules/python2.6/opsiconfd/workers.py' (Logger.py|754)
[2] [Mar 10 11:02:02] ==>>> Opsi authentication error: Forbidden: Backend authentication error: Backend authentication error: PAM authentication failed for user 'test.einmal': ('Authentication failure', 7) (Worker.py|285)
Kann da jemand was mit anfangen oder mir irgendwie auf die Sprünge helfen?
Grüßle,
Kai
Re: OPSI Admin Frontend & LDAP
Verfasst: 10 Mär 2014, 13:58
von thomas.besser
Versuch mal den User auch in die lokale Gruppe 'pcpatch' mit aufzunehmen.
Re: OPSI Admin Frontend & LDAP
Verfasst: 10 Mär 2014, 14:46
von hawaii
Hallo Thomas,
Danke, aber leider hat das auch nichts geholfen, mittlerweile bin ich noch auf das hier gestoßen:
http://download.uib.de/opsi4.0/doc/html ... tification
Leider führt das auch nicht zum gewünschten Ergebnis....irgendwie bin ich grad ziemlich ratlos
Re: OPSI Admin Frontend & LDAP
Verfasst: 10 Mär 2014, 15:25
von thomas.besser
Ah stimmt, das ist bei uns auch per se eingerichtet
Re: OPSI Admin Frontend & LDAP
Verfasst: 10 Mär 2014, 15:37
von ueluekmen
Hi,
der opsiconfd Benutzer muss in der Lage sein, dass LDAP ab zu fragen, zumindest Teile davon. Probier mal folgendes:
Geh als root auf deinen Server und führe danach:
aus. Jetzt solltest du auch die LDAP-Gruppen sehen, wenn nicht wird es schwierig. Du solltest dann die Gruppen auch im LDAP anlegen, zumindest machen wir das so. Aber so eine Anbindung ist nicht ganz einfach. Vielleicht schreiben wir mal eine Anleitung dazu, wenn wir mal Zeit haben.
Re: OPSI Admin Frontend & LDAP
Verfasst: 10 Mär 2014, 16:53
von hawaii
Das ist korrekt, der opsiconfd user kann die ldap user/gruppen nicht sehen, sondern nur root.
Wenn mich nicht alles täuscht liegt das an der Tatsache, dass unser LDAP Server keine anonymen Bindings zulässt.
Aber jetzt weiss ich zumindest mal wo ich weitergraben muss
Danke für den Hinweis!
Re: OPSI Admin Frontend & LDAP
Verfasst: 11 Mär 2014, 08:01
von thomas.besser
Auf was für einem Linux hast du das Problem?
Auch unser LDAP ist nicht anonym lesbar. Der 'nslcd' Dienst (Debian Wheezy) kennt aber die Zugangsdaten.
Re: OPSI Admin Frontend & LDAP
Verfasst: 11 Mär 2014, 09:02
von hawaii
Das Ganze läuft auf 'nem Debian Squeeze und ich hab jetzt noch mal die nslcd config durchgeschaut und dabei tatsächlich noch einen Fehler gefunden.
Danke für den Hinweis zum nslcd, hab gestern wohl den Wald vor lauter Bäumen nicht mehr gesehen
Zumindest sieht jetzt der opsiconfd User auch alle Gruppen inkl. LDAP wenn ich das Ganze mit getent group abfrage.
Allerdings funktioniert die Authentifizierung gegenüber dem Webinterface leider noch nicht. Es bleibt beim PAM Authentication Error.
Habt ihr noch Änderungen an /etc/pam.d/common-auth vorgenommen?
Re: OPSI Admin Frontend & LDAP
Verfasst: 11 Mär 2014, 09:29
von thomas.besser
die /etc/pam.d/common-auth sieht so aus:
Code: Alles auswählen
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure
Da fällt mir ein. Nach dem Upgrade vor Kurzem (squeeze -> wheezy) hats bei mir zunächst auch nicht mehr funktioniert. Ich habe dann auf die Schnelle die 'common-auth' sowie die anderen drei von der früheren squeeze-Installation wieder reaktiviert und dann ging es wieder.
Re: OPSI Admin Frontend & LDAP
Verfasst: 11 Mär 2014, 09:41
von hawaii
Ok, common-auth hat noch nichts geholfen, könntest du mir kurz eure ganzen common-* Dateien posten?
Weil wenn das bei euch unter Squeeze lief muss ich das hier ja auch hinbekommen