LDAPが実行されているときにsuできません
Ldapに問題があります。オンラインの場合、LDAPdbからuser/passでログインした後、ローカルパスでrootにsuできません。 LDAPをオフラインにすると、ローカルユーザー/パスでログインでき、ローカルパスでrootにsuできます。 auth.log:
Sep 27 12:18:33 intranet sshd[18321]: pam_unix(sshd:session): session opened for user mejmo by (uid=0)
Sep 27 12:18:39 intranet unix_chkpwd[18340]: check pass; user unknown
Sep 27 12:18:39 intranet unix_chkpwd[18340]: password check failed for user (root)
Sep 27 12:18:39 intranet su[18339]: pam_unix(su:auth): authentication failure; logname=mejmo uid=10009 euid=10009 tty=/dev/pts/1 ruser=mejmo rhost= user=r
Sep 27 12:18:42 intranet su[18339]: pam_authenticate: Permission denied
Sep 27 12:18:42 intranet su[18339]: FAILED su for root by mejmo
LDAPサーバーがオフラインのときにログインできるため、適切なパスワードを入力しています。助けてください、夢中になる...
編集:私がローカルでもユーザーを作成するとき、LDAPをオンラインにすると、rootにsuできることがわかりました。問題は、passwdにエントリがないため、pam_unixがsuを使用しているユーザーを認識できないことですが、nssswitch.confは問題ありません(passwd、shadowなどのファイルldap)
EDIT2:
account sufficient pam_ldap.so debug
account sufficient pam_unix.so audit
auth sufficient pam_ldap.so
auth sufficient pam_unix.so audit likeauth use_first_pass
auth required pam_deny.so
EDIT3:nscdを実行していると動作しますが、厄介なログが表示され、ログインできない場合があります。nscdの問題はどこにあるのでしょうか。 :(
Sep 27 16:27:35 intranet sshd[25830]: pam_ldap: ldap_simple_bind Can't contact LDAP server
Sep 27 16:27:35 intranet sshd[25830]: pam_ldap: reconnecting to LDAP server...
Sep 27 16:27:35 intranet sshd[25830]: pam_ldap: ldap_simple_bind Can't contact LDAP server
最初にローカル認証を確認してから、LDAPバックエンドを確認してください。
/etc/nsswitch.confを確認してください
次のように表示されます。
passwd:ファイルldapグループ:ファイルldapシャドウ:ファイルldap
または多分「互換性」オプション
編集:
nscdは私のRHELマシンの問題の原因であり、nscdからは予期していなかったバグを作成していました。したがって、答えは「はい」です。nscdがこの奇妙な動作の原因である可能性があります。テスト中にnscdのキャッシュをクリーンアップするようにしてください。
nscd -i passwd nscd-iグループ
LDAPのユーザーは、rootに対してsuを実行する正しいグループに属していますか?
通常、これはホイールグループですが、環境によって異なる場合があります。