Impossible d'entrer PAM et ldap: Impossible d'obtenir un mot de passe

J'essaie de faire OpenVPN Authentifier les utilisateurs autour de PAM de l'autre côté LDAP sur le serveur Active Directory.

Voici les parties correspondantes de mes fichiers de configuration:

/etc/openvpn/server.conf

:

# ...
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so ldap-login

/etc/nslcd.conf

:

uri ldap://prod-adc1.mydomain.local
base DC=MyDomain,DC=Local
uid nslcd
gid ldap

/etc/pam.d/ldap-login

:

auth      sufficient  pam_ldap.so minimum_uid=1000 use_first_pass
auth required pam_deny.so
password sufficient pam_ldap.so minimum_uid=1000 use_first_pass
password required pam_deny.so

Lorsque j'essaie de passer une authentification, je vois ce qui suit dans les magazines:

/ var / magazine / en sécurité

:

Dec  4 22:22:42 localhost openvpn[25505]: pam_ldap(ldap-login:auth): failed to get password: Authentication failure

/ var / log / messages

:

Dec  4 22:38:28 localhost openvpn[25504]: 1.2.3.4:37503 TLS: Initial packet from [AF_INET]1.2.3.4:37503, sid=c2d806cc 5c7c7ace
Dec 4 22:38:28 localhost openvpn[25504]: 1.2.3.4:37503 PLUGIN_CALL: POST /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
Dec 4 22:38:28 localhost openvpn[25504]: 1.2.3.4:37503 PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so
Dec 4 22:38:28 localhost openvpn[25504]: 1.2.3.4:37503 TLS Auth Error: Auth Username/Password verification failed for peer
Dec 4 22:38:28 localhost openvpn[25504]: 1.2.3.4:37503 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384
Dec 4 22:38:28 localhost openvpn[25504]: 1.2.3.4:37503 Peer Connection Initiated with [AF_INET]1.2.3.4:37503
Dec 4 22:38:31 localhost openvpn[25504]: 1.2.3.4:37503 PUSH: Received control message: 'PUSH_REQUEST'
Dec 4 22:38:31 localhost openvpn[25504]: 1.2.3.4:37503 Delayed exit in 5 seconds
Dec 4 22:38:31 localhost openvpn[25504]: 1.2.3.4:37503 SENT CONTROL [UNDEF]: 'AUTH_FAILED' (status=1)
Dec 4 22:38:36 localhost openvpn[25504]: 1.2.3.4:37503 SIGTERM[soft,delayed-exit] received, client-instance exiting

Je suis faux mis en place PAM? Quelque chose que je manque dans ma configuration d'entrée?

ÉDITER:

Je peux me connecter si je fais ce qui suit:

ldapsearch -h prod-adc1.mydomain.local -b "DC=MyDomain,DC=Local" -x -D "naftuli.kay@mydomain.com" -W

Comment puis-je le comparer avec un module PAM LDAP, Ouvrir une session OpenVPN Travaillé correctement?
Invité:

Dominique

Confirmation de:

On dirait que vous devez configurer

/etc/nslcd.conf

avec votre

binddn

et

bindpw

.

Voir
http://arthurdejong.org/nss-pam-ldapd/nslcd.conf.5
J'espère que cela aidera!

-Baron

Christine

Confirmation de:

Un exemple de configuration de travail (Autorisation de l'utilisateur

seul

contre le serveur LDAP, dans l'exemple que j'ai utilisé OpenLDAP, mais AD Pris en charge dans ce module - openvpn-auth-ldap.so):

openvpn-sever.conf:

# Authorization against LDAP
plugin /usr/lib64/openvpn-auth-ldap.so /some/path/auth-ldap.conf

auth-ldap.conf:

<ldap>
# LDAP server URL
URL ldap://server.intranet.eko-inwest.com.pl:389

# Bind DN (If your LDAP server doesn’t support anonymous binds)
# BindDN uid=administrator,ou=users,dc=x,dc=y
# BindDN uid=admin,ou=Users,dc=x,dc=y
# BindDN admin@test.com

# Network timeout (in seconds)
Timeout 15

# Enable Start TLS
TLSEnable no

# TLS CA Certificate File
# TLSCACertFile /etc/ssl/ca.x.y.crt
</ldap>
<authorization>
# Base DN
BaseDN "ou=users,dc=x,dc=y"

# User Search Filter
#SearchFilter "(uid=%u)"
#SearchFilter "(&amp;(uid=%u)(objectclass=posixAccount))"
# For Samba's schema
SearchFilter "(&amp;(uid=%u)(!(sambaAcctFlags=[DUL ])))"

# Require Group Membership
RequireGroup true

# Add non-group members to a PF table (disabled)
# PFTable vpn-users
<group>
# Match full user DN if true, uid only if false
RFC2307bis false
BaseDN "ou=groups,dc=x,dc=y"

SearchFilter "(cn=vpn-users)"
MemberAttribute memberUid
</group>
</authorization>

Pour répondre aux questions, connectez-vous ou registre