Я пытаюсь настроить PAM для работы с моим сервером LDAP для аутентификации. Для этого я пытаюсь использовать libpam-ldap, я решил использовать libpam-ldap вместо libpam-ldapd по двум причинам. Во-первых, libpam-ldapd, похоже, не поддерживает аутентификацию на основе групп, что означает, что я не смогу контролировать, какие пользователи имеют доступ к каким службам с помощью групп LDAP (по крайней мере, для служб, использующих PAM), а во-вторых, когда я пытался установить libpam -ldapd весь сервер перестал отвечать на запросы, на обработку команд уходит более 30 секунд.
Когда делается попытка аутентификации, libpam_ldap правильно пытается связаться с желаемым сервером LDAP через порт 636, однако попытки привязки не предпринимаются. Перенастройка libpam-ldap для подключения к серверу LDAP через соединение без TLS через порт 389 приводит к попытке привязки, которая правильно отклоняется политикой моего сервера LDAP для аутентификации на соединениях без TLS.
Я запускаю Debian 10.4, и мой файл pam_ldap.conf (который в рамках моего процесса устранения неполадок я сократил до минимальной конфигурации) выглядит следующим образом
base ou=people,dc=example,dc=com
uri ldaps://example.com/
ldap_version 3
binddn uid=0,ou=servers,dc=example,dc=com
bindpw mypassword
pam_login_attribute displayName
pam_password clear
ssl on
tls_checkpeer no
tls_cacertdir /etc/ssl/certs
logdir /var/log/pamldap
Везде, где написан пример, фактическая конфигурация имеет правильное значение. Пароли настроены на очистку, потому что хеширование паролей выполняется на стороне сервера с помощью ppolicy. Параметры, указывающие «ssl on», а также «tls_checkpeer» и «tls_cacertdir», все включены как часть моего процесса устранения неполадок, и никакая их комбинация не приводит к успешному подключению к серверу LDAP.
Флаг logdir в конфигурации не работает, поэтому libpam-ldap не создает журналов, что серьезно усложняет устранение неполадок. До сих пор устранение неполадок состояло из попытки аутентифицировать пользователя FTP и отслеживания журналов на сервере LDAP, а также того, какая информация передается клиенту FTP. Попытка войти в систему, когда libpam-ldap настроен на использование TLS, приводит к тайм-ауту FTP-клиента и следующему журналу на сервере LDAP
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on:
Jun 4 15:11:05 MyServer slapd[831]:
Jun 4 15:11:05 MyServer slapd[831]: slap_listener_activate(8):
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=8 busy
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: >>> slap_listener(ldaps:///)
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on 1 descriptor
Jun 4 15:11:05 MyServer slapd[831]: daemon: listen=8, new connection on 12
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on:
Jun 4 15:11:05 MyServer slapd[831]:
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on 1 descriptor
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on:
Jun 4 15:11:05 MyServer slapd[831]: daemon: added 12r (active) listener=(nil)
Jun 4 15:11:05 MyServer slapd[831]: 12r
Jun 4 15:11:05 MyServer slapd[831]:
Jun 4 15:11:05 MyServer slapd[831]: daemon: read active on 12
Jun 4 15:11:05 MyServer slapd[831]: conn=1000 fd=12 ACCEPT from IP=X.X.X.X:1025 (IP=0.0.0.0:636)
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: connection_get(12)
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: connection_get(12): got connid=1000
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: connection_read(12): checking for input on id=1000
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on 1 descriptor
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on:
Jun 4 15:11:05 MyServer slapd[831]:
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on 1 descriptor
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on:
Jun 4 15:11:05 MyServer slapd[831]:
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on 1 descriptor
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on:
Jun 4 15:11:05 MyServer slapd[831]: 12r
Jun 4 15:11:05 MyServer slapd[831]:
Jun 4 15:11:05 MyServer slapd[831]: daemon: read active on 12
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: connection_get(12)
Jun 4 15:11:05 MyServer slapd[831]: connection_get(12): got connid=1000
Jun 4 15:11:05 MyServer slapd[831]: connection_read(12): checking for input on id=1000
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on 1 descriptor
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on:
Jun 4 15:11:05 MyServer slapd[831]:
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on 1 descriptor
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on:
Jun 4 15:11:05 MyServer slapd[831]: 12r
Jun 4 15:11:05 MyServer slapd[831]:
Jun 4 15:11:05 MyServer slapd[831]: daemon: read active on 12
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: connection_get(12)
Jun 4 15:11:05 MyServer slapd[831]: connection_get(12): got connid=1000
Jun 4 15:11:05 MyServer slapd[831]: connection_read(12): checking for input on id=1000
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on 1 descriptor
Jun 4 15:11:05 MyServer slapd[831]: daemon: activity on:
Jun 4 15:11:05 MyServer slapd[831]:
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:11:05 MyServer slapd[831]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Попытка войти в систему через незашифрованное соединение приводит к тому, что FTP-клиент получает неверный ответ 530 для входа в систему и сообщение об ошибке «Критическая ошибка: не удалось подключиться к серверу», а сервер LDAP записывает следующий журнал.
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on 1 descriptor
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on:
Jun 4 15:27:20 MyServer slapd[5866]:
Jun 4 15:27:20 MyServer slapd[5866]: slap_listener_activate(8):
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=8 busy
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=11 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=12 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: >>> slap_listener(ldap:///)
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on 1 descriptor
Jun 4 15:27:20 MyServer slapd[5866]: daemon: listen=8, new connection on 14
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on:
Jun 4 15:27:20 MyServer slapd[5866]:
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=11 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=12 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on 1 descriptor
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on:
Jun 4 15:27:20 MyServer slapd[5866]: 14r
Jun 4 15:27:20 MyServer slapd[5866]:
Jun 4 15:27:20 MyServer slapd[5866]: daemon: added 14r (active) listener=(nil)
Jun 4 15:27:20 MyServer slapd[5866]: daemon: read active on 14
Jun 4 15:27:20 MyServer slapd[5866]: conn=1002 fd=14 ACCEPT from IP=X.X.X.X:47982 (IP=0.0.0.0:389)
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: connection_get(14)
Jun 4 15:27:20 MyServer slapd[5866]: connection_get(14): got connid=1002
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=11 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: connection_read(14): checking for input on id=1002
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=12 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on 1 descriptor
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on:
Jun 4 15:27:20 MyServer slapd[5866]: op tag 0x60, time 1591298840
Jun 4 15:27:20 MyServer slapd[5866]:
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=11 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=12 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on 1 descriptor
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on:
Jun 4 15:27:20 MyServer slapd[5866]: conn=1002 op=0 do_bind
Jun 4 15:27:20 MyServer slapd[5866]: >>> dnPrettyNormal: <uid=0,ou=servers,dc=example,dc=com>
Jun 4 15:27:20 MyServer slapd[5866]:
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=11 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: <<< dnPrettyNormal: <uid=0,ou=servers,dc=example,dc=com>, <uid=0,ou=servers,dc=example,dc=com>
Jun 4 15:27:20 MyServer slapd[5866]: conn=1002 op=0 BIND dn="uid=0,ou=servers,dc=example,dc=com" method=128
Jun 4 15:27:20 MyServer slapd[5866]: do_bind: version=3 dn="uid=0,ou=servers,dc=example,dc=com" method=128
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=12 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: send_ldap_result: conn=1002 op=0 p=3
Jun 4 15:27:20 MyServer slapd[5866]: send_ldap_result: err=13 matched="" text="confidentiality required"
Jun 4 15:27:20 MyServer slapd[5866]: send_ldap_response: msgid=1 tag=97 err=13
Jun 4 15:27:20 MyServer slapd[5866]: conn=1002 op=0 RESULT tag=97 err=13 text=confidentiality required
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on 1 descriptor
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on:
Jun 4 15:27:20 MyServer slapd[5866]: 14r
Jun 4 15:27:20 MyServer slapd[5866]:
Jun 4 15:27:20 MyServer slapd[5866]: daemon: read active on 14
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=11 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=12 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: connection_get(14)
Jun 4 15:27:20 MyServer slapd[5866]: connection_get(14): got connid=1002
Jun 4 15:27:20 MyServer slapd[5866]: connection_read(14): checking for input on id=1002
Jun 4 15:27:20 MyServer slapd[5866]: op tag 0x42, time 1591298840
Jun 4 15:27:20 MyServer slapd[5866]: ber_get_next on fd 14 failed errno=0 (Success)
Jun 4 15:27:20 MyServer slapd[5866]: connection_read(14): input error=-2 id=1002, closing.
Jun 4 15:27:20 MyServer slapd[5866]: connection_closing: readying conn=1002 sd=14 for close
Jun 4 15:27:20 MyServer slapd[5866]: connection_close: deferring conn=1002 sd=14
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on 1 descriptor
Jun 4 15:27:20 MyServer slapd[5866]: daemon: activity on:
Jun 4 15:27:20 MyServer slapd[5866]:
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=8 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=9 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=10 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=11 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: conn=1002 op=1 do_unbind
Jun 4 15:27:20 MyServer slapd[5866]: conn=1002 op=1 UNBIND
Jun 4 15:27:20 MyServer slapd[5866]: daemon: epoll: listen=12 active_threads=0 tvp=zero
Jun 4 15:27:20 MyServer slapd[5866]: connection_resched: attempting closing conn=1002 sd=14
Jun 4 15:27:20 MyServer slapd[5866]: connection_close: conn=1002 sd=14
Jun 4 15:27:20 MyServer slapd[5866]: daemon: removing 14
Jun 4 15:27:20 MyServer slapd[5866]: conn=1002 fd=14 closed
Что, по-видимому, является правильным политическим ответом для моего сервера LDAP.
Чтобы прояснить мою проблему: libpam_ldap не может связаться с моим сервером LDAP через TLS, может ли кто-нибудь сказать мне, почему это так и что мне нужно сделать, чтобы исправить эту проблему. Если вы не думаете, что это проблема, с которой я столкнулся, в чем, по вашему мнению, заключается проблема и что, по вашему мнению, мне нужно сделать, чтобы исправить эту проблему?
Я наконец понял свою проблему. Моя проблема - странная проблема TLS, когда вы пытаетесь установить TLS-соединение с машины на себя через NAT (сервер и клиент LDAP находятся на одном компьютере, но для правильной работы TLS клиенту необходимо подключиться через доменное имя и, следовательно, должно проходить через NAT), соединение просто не работает. Это не только для LDAP, это обычное странное поведение TLS. Решением этой проблемы является отключение принудительного TLS (удаление атрибута olcSecurity) на сервере LDAP и повторное включение ldap: /// (в отличие от ldaps: ///) в файле значений по умолчанию slapd, но ограничивая его петлевой интерфейс (ldap: //127.0.0.1/). Таким образом, весь трафик по-прежнему вынужден использовать TLS (с ограничениями шифрования, налагаемыми атрибутом olcTLSCipherSuite), но локальные службы по-прежнему имеют доступ к серверу LDAP.