[Mandrake] Client LDAP et verrouillage de session/Ecran de veille

Client LDAP et verrouillage de session/Ecran de veille [Mandrake] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 18-03-2005 à 11:27:58    

J'ai donc un serveur ldap qui fait l'authentification du parc client ldap sous mandrake 10.1.
 
Toute l'authentification marche au poil, mais les clients ne peuvent pas verouiller la session ou lancer l'écran de veille verouiller, sous peine de ne pas pouvoir se déverouiller.
 
Quelqu'un sait d'où provient ce problème?
 
Merci par avance.


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 18-03-2005 à 11:27:58   

Reply

Marsh Posté le 18-03-2005 à 13:24:13    

Allez un petit effort :D


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 18-03-2005 à 19:18:19    

Up de soutien pour un probleme bizarrr !
Encore un coup de pam j'en suis sur :o


---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 18-03-2005 à 20:11:33    

j'ai trouvé la soluce, j'ai testé tout à l'heure, mais une fois relogué, il faut tué le process en console pour avoir de nouveau accès au X :whistle:
 
Simple non :??:


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 18-03-2005 à 20:37:18    

Heu moyen moins quand meme :o
Prevois de distribuer une notice a chaque utilisateur :D


---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 19-03-2005 à 20:59:58    

Yep :D


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 20-03-2005 à 00:32:36    

il ressemble à ça ton /etc/pam.d/xscreensaver ?
 


auth     sufficient     pam_ldap.so
auth     required       pam_unix_auth.so

Reply

Marsh Posté le 20-03-2005 à 08:39:38    

Justement, sur les mandrakes 10.1 qu'on a déployé, il n'y a pas de xscreensaver, mais kscreensaver :(


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 20-03-2005 à 11:54:33    

Klaimant a écrit :

Justement, sur les mandrakes 10.1 qu'on a déployé, il n'y a pas de xscreensaver, mais kscreensaver :(


 
Sur le site de mandrake dans un errata de la 9.1, on trouve ceci :


Error scenario: KDE's screensaver locks the screen and will not unlock it for non-local users (ie. via winbind, NIS, LDAP, etc.)
Why: The PAM file for kscreensaver3 is incorrect and references a non-existant PAM module.
Solution: As root, replace /etc/pam.d/kscreensaver3 with /etc/pam.d/xscreensaver, by executing as root:
 
# cp /etc/pam.d/xscreensaver /etc/pam.d/kscreensaver3


source : http://www.mandrakelinux.com/en/91errata.php3
 
le problème c'est que maintenant (10.X) /etc/pam.d/xscreensaver et /etc/pam.d/kscreensaver3 sont identiques, ils utilisent system-auth, donc le problème est encore ailleurs
 
Je tenterais de mettre de côté le kscreensaver3 et en recréer un avec ceci :


#%PAM-1.0
auth     sufficient     pam_ldap.so
auth     required       pam_unix_auth.so


 
donc ne pas faire directement appel à system-auth... ou alors installer xscreensaver (en utilisant la même chose qu'au dessus pour le pam.d/xscreensaver) et l'utiliser à la place de kscreensaver... regarde aussi du côté de /etc/pam.d/kde3
 
Pour comparaison, je suis sous fedora avec auth ldap sur un serveur du LAN et ça fonctionne avec ça :
/etc/pam.d/system-auth :


#%PAM-1.0
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        sufficient    /lib/security/$ISA/pam_ldap.so use_first_pass
auth        required      /lib/security/$ISA/pam_deny.so
 
account     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account     required      /lib/security/$ISA/pam_ldap.so
account     required      /lib/security/$ISA/pam_permit.so
 
password    requisite     /lib/security/$ISA/pam_cracklib.so retry=3 type=
password    required      /lib/security/$ISA/pam_ldap.so use_authtok
password    required      /lib/security/$ISA/pam_deny.so
 
session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_ldap.so


 
/etc/pam.d/xscreensaver :


#%PAM-1.0
auth       required     pam_stack.so service=system-auth


 
/etc/pam.d/kde :


#%PAM-1.0
auth       required     pam_stack.so service=system-auth
auth       required     pam_nologin.so
auth       sufficient   pam_timestamp.so
 
account    required     pam_stack.so service=system-auth
 
password   required     pam_stack.so service=system-auth
 
session    required     pam_stack.so service=system-auth
session    optional     pam_timestamp.so
session    optional     pam_selinux.so
session    optional     pam_console.so


 
la reprise après lock ou écran de veille fonctionne sans problème, l'auth se fait bien sur le serveur ldap
 
la solution n'est peut-être pas là, mais ça pourra peut-être aider [:mrbrelle]

Reply

Marsh Posté le 20-03-2005 à 11:57:13    

Je regarderais ca ;)
 
J'ai déjà essayé de changé le pam system-auth en mettant en dur dans le kscreensaver pam_ldap, mais la ca s'authentifie et ca crash le screen saver (obligé de passer en console pour killer l'applis :( )


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 20-03-2005 à 11:57:13   

Reply

Marsh Posté le 21-03-2005 à 09:19:49    

Après test, ca ne fonctionne pas avec la mandrake 10.1 :'(


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-03-2005 à 16:20:20    

Klaimant> fais un bug report alors stp
http://qa.mandrakesoft.com


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 21-03-2005 à 16:48:48    

Dark_Schneider a écrit :

Klaimant> fais un bug report alors stp
http://qa.mandrakesoft.com


 
 
Je vais le faire :)


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 25-03-2005 à 10:21:05    

http://qa.mandrakesoft.com/show_bug.cgi?id=14874
 
Ca fait un moment que je l'ai fait, c'est normal qu'il soit toujours en unconfirmed ?


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 25-03-2005 à 14:09:06    

il faut que quelqu'un y jette un oeil et le confirme.
 
Avec la sortie de la 10.2 les dev sont un peu overbookés.


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 25-03-2005 à 16:25:45    

Dark_Schneider a écrit :

il faut que quelqu'un y jette un oeil et le confirme.
 
Avec la sortie de la 10.2 les dev sont un peu overbookés.


 
 
Moi j'ai pas l'air d'un glandu au boulot :D


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 25-03-2005 à 17:52:04    

je pense que tu devrais utiliser systhem-auth pour kscreensaver ...


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 25-03-2005 à 18:48:50    

Dark_Schneider a écrit :

je pense que tu devrais utiliser systhem-auth pour kscreensaver ...


 
 
Déjà essayé, et ca plante pareille :(


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 25-03-2005 à 19:24:47    

peux tu poster le contenu de /etc/pam.d/kscreensaver et aussi donner le contenu des logs lorsque l'utilisateur essaie de s'auth/dévérouiller l'écran


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 29-03-2005 à 08:57:56    

/etc/pam.d/kscreensaver :

#%PAM-1.0
#auth       sufficient  pam_linux_afs.so ignore_root
#auth       sufficient pam_linux_afs.so no_unlog ignore_root
#auth       required    pam_pwdb.so shadow nullok
auth       required     pam_stack.so service=system-auth


 
Et on obtient dans les logs au dévérouillage :

Mar 29 08:23:18 lmapmm14 kscreensaver3(pam_unix)[2273]: authentication failure; logname= uid=1033 euid=1033 tty=:0 ruser= rhost=  user=jlouis
Mar 29 08:23:18 lmapmm14 kcheckpass[2273]: illegal option likeauth
Mar 29 08:23:18 lmapmm14 kcheckpass[2273]: illegal option nullok
Mar 29 08:23:18 lmapmm14 kcheckpass[2273]: pam_ldap: missing file "/etc/ldap.conf"
Mar 29 08:23:20 lmapmm14 kcheckpass[2273]: Authentication failure for jlouis (invoked by uid 1033)


 
J'ai essayé de modifier kscreensaver pour virer les options :

auth       sufficient     pam_ldap.so


 
Et là kscreensaver plante et me demande poliement de le tuer en me donnant son PID et dans les logs :

Mar 29 08:26:12 lmapmm14 kcheckpass: pam_ldap: missing file "/etc/ldap.conf"


 
J'ai mis les droits sur /etc/ldap.conf en 600 (mdp oblige) je vais allez vérifié si en 660 çà passe mieux !
 
 
Merci en tout les cas [:romf]


Message édité par Klaimant le 29-03-2005 à 08:58:13

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 29-03-2005 à 09:40:36    

Chmod 644 et ca fonctionne, mais maintenant ca me pose un gros problème de sécurité pour le mot de passe du proxy user.
 
J'avance un peu :)


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 29-03-2005 à 17:12:17    

donc avec systhem-auth cela marche et c'est la lecture du ldap.conf qui pose problème ...
 


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 29-03-2005 à 17:29:56    

Dark_Schneider a écrit :

donc avec systhem-auth cela marche et c'est la lecture du ldap.conf qui pose problème ...


 
Oui, mais les autres applis KDE, kdm, kcontrol n'accède pas à ldap.conf "directement" et donc n'ont pas besoin d'avoir l'accès en écriture pour other en 644.
 
C'est pas très clair si ??
 
Merci.


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 29-03-2005 à 17:39:18    

pour "corriger" ce probleme de sécurité, j'au vu quelque part qu'il fallait créer un user servant seulement à authentifier sur le ldap, et le mettre dans le ldap.conf. Comme ça, meme si quelqu'un decrypte le pass dans ldap.conf, il ne peut pas faire grand chose avec cet user bridé


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 29-03-2005 à 17:56:59    

ça peut se faire comme ça :
 
soit l'arborescence de la base LDAP mondomaine.org suivante :
 


LDAP_SERVER
    |-> dc=mondomaine,dc=org
                |-> ou=UNIX
                       |-> cn=nssldap
                              UserPassword : mot_de_passe_crypté_de_nssldap
                |-> ou=Groups
                      les groupes de /etc/group
                |-> ou=Users
                      les utilisateurs de /etc/passwd + /etc/shadow
[...]


 
-rw-r--r-- root root /etc/ldap.conf


# Your LDAP server. Must be resolvable without using LDAP.
host LDAP_SERVER
 
# The distinguished name of the search base.
base dc=mondomaine,dc=org
 
rootbinddn cn=nssldap,ou=UNIX,dc=mondomaine,dc=org
 
nss_base_passwd  ou=Users,dc=mondomaine,dc=org?one
nss_base_shadow  ou=Users,dc=mondomaine,dc=org?one
nss_base_group  ou=Groups,dc=mondomaine,dc=org?one
 
[...]


 
ici l'utilisateur "nssldap" sert d'utilisateur pour l'authentification unix
 
-rw------- root root /etc/ldap.secret


le_mot_de_passe_en_clair_de_nssldap


 
tout le monde peut lire /etc/ldap.conf, mais seul root a accès à /etc/ldap.secret


Message édité par BMOTheKiller le 29-03-2005 à 17:57:47
Reply

Marsh Posté le 29-03-2005 à 18:07:41    

le binddn
 
j'ai regardé dans le bouquin O'Reilley, et en effet il faut faire un chmod a+r sur /etc/ldap.conf
 
ensuite eux il font les auth de manière anonyme, donc aucun mdp n'est mis dans ldap.conf


Message édité par Dark_Schneider le 29-03-2005 à 18:08:16

---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 29-03-2005 à 18:45:02    

J'ai déjà un proxy user, mais son mot de passe est en clair dans le ldap.conf.
 
Je testerais avec le fichier ldap.secret demain :)


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 29-03-2005 à 20:00:51    

ldap.secret sert uniquement pour le mot de passe de l'admin si tu as specifié un rootbinddn, pas pour le proxy user.
 
Tant pis, faudra vivre avec l'idee que le password du proxy user se balade en clair sur notre reseau  [:spamafote]  
 
C bizarre quand meme que nscd fasse pas son job. C'est le seul service (l'ecran de veille) qui reagit comme ca  :pt1cable:


---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 29-03-2005 à 20:02:42    

hfrfc a écrit :

ldap.secret sert uniquement pour le mot de passe de l'admin si tu as specifié un rootbinddn, pas pour le proxy user.
 
Tant pis, faudra vivre avec l'idee que le password du proxy user se balade en clair sur notre reseau  [:spamafote]  
 
C bizarre quand meme que nscd fasse pas son job. C'est le seul service (l'ecran de veille) qui reagit comme ca  :pt1cable:


 
Certes glandu !
 
Mais si tu regardes bien ce que dis le monsieur rootbinddn cn=nssldap,ou=UNIX,dc=mondomaine,dc=org  
 
Il spécifie le cn=nssldap, donc on peut essayer de fainter ldap  [:kahn21]


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 29-03-2005 à 20:03:10    

Pis de toute facon, vu qu'on utilise TLS, le password proxy user ne se balade pas en clair, faut deja se logguer (on se rassure comme on peu :D)


---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 29-03-2005 à 20:05:52    

Klaimant a écrit :

Certes glandu !
 
Mais si tu regardes bien ce que dis le monsieur rootbinddn cn=nssldap,ou=UNIX,dc=mondomaine,dc=org  
 
Il spécifie le cn=nssldap, donc on peut essayer de fainter ldap  [:kahn21]


 
tiens t'es la toa  :o  
hum, oué pourquoi pas... Ca doit marcher je pense. Enfin bon, c pas la mort de laisser ldap.conf en 644 ... Je pense que c'est c negligeable... ;)


---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 29-03-2005 à 20:06:55    

hfrfc a écrit :

tiens t'es la toa  :o  
hum, oué pourquoi pas... Ca doit marcher je pense. Enfin bon, c pas la mort de laisser ldap.conf en 644 ... Je pense que c'est c negligeable... ;)


 
 
C'est pas propre, si on commence comme çà, où va finir le service info je vous le demande :D


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 29-03-2005 à 20:08:25    

DTC  :whistle:  
 
C pas que "c'est pas propre", c'est que ca a ete prévu pour marcher comme ca stout [:spamafote]


Message édité par hfrfc le 29-03-2005 à 20:09:17

---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 29-03-2005 à 21:52:29    

[:totoz]  
 
c'est quoi ces admins
 
 [:dawa_neowen]  
 
 
 
 
 [:mustang]

Reply

Marsh Posté le 30-03-2005 à 08:33:40    

On fait ce qu'on peut avec nos moyens et nos emmerdes Monsieur :O


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 30-03-2005 à 20:05:26    

moyens financiers je précise :o


---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 30-03-2005 à 22:21:53    

hfrfc a écrit :

moyens financiers je précise :o


 
Où moyen humain, vu l'état de mon collègue  [:yodanc]


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 31-03-2005 à 09:03:45    

La guerre est ouverte :o
En attendant, on s'en sort plutot bien , enfin je pense :sleep:  

Reply

Marsh Posté le 31-03-2005 à 09:04:50    

Ouais "on" !!


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 01-04-2005 à 10:49:00    

Bon j'ai testé la manip, si je mets le rootbinddn ca fonctionne partout normalement, sauf que le "BUG" avec le kscreensaver reviens :(


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed