Arch Linux

pam kde

silver345

Hallo,

ich sitze jetzt schon einige Tage an der Installation von KDE unter Archlinux. Die Installation von KDE ist nicht das eigentliche Problem. Problem ist die Anmeldung unter KDE: Ich muß mich gegen einen LDAP-Server authentifizieren. Und da scheitert es. Eine Anmeldung an der Konsole auch gegen LDAP funktioniert problemlos. Mit getent passwd sehe ich alle User aus dem LDAP-Server. Ändere ich die /etc/inittab auf init 5 und schalte kdm ein, kann ich mich nicht anmelden. In /var/log/auth.log ist nur ein lapidarer Eintrag zu finden:

Mar 22 13:48:13 localhost kdm: :0[572]: pam_unix(kde:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=<username>

Ich habe dann versuchsweise /etc/pam.d/kde geändert, daß auch eine Authentifizierung gegen LDAP möglich ist, nur kann ich mich dann nicht einmal mehr als root anmelden. Zugeben muß ich, daß die Doku zu pam für mich ein Buch mit 7 Siegeln ist. Und eine Anmeldung über LDAP scheint nicht unbedingt DIE Standardanmeldung zu sein, so daß ich auch nichts Befriedigendes im Netz finden kann. Zumal in meiner Firma ldap und nicht ldaps verwendet wird. Ich kann mich noch irgendwie dunkel erinnern, daß es auch mit KDE unter Fedora Probleme gab, da KDE ein Zertifikat erwartete. Nur ließ sich das damals lösen. Fedora hatte da irgendwo ein Progrämmchen, was geholfen hat...

Kann mir irgendwer eine verständliche Anleitung zu pam vermitteln oder eventuell seine kde aus /etc/pam.d posten? Ich meine da jetzt aber nicht das Standardteil. Das habe ich schon. ;o)

Ich vergaß: lokal angelegte User können sich problemlos an KDE anmelden. Versuchsweise root (nach Anleitung freigeschaltet) und auch mich selbst als lokaler User angelegt. Muß also wirklich irgendwas mit pam und ldap zu tun haben.

Gruß silver345

GerBra

Konkret kann ich dir nicht helfen, aber die Wiki-Artikel kennst du?
https://wiki.archlinux.org/index.php/LDAP_Authentication
https://wiki.archlinux.org/index.php/OpenLDAP_Authentication
Beim letzteren Ist auch noch was zu (selbstsignierten) zertifikaten zu finden....

silver345

Ja, beide Artikel kenne ich. Zumindest die ersten Hürden habe ich damit genommen.

Ich habe jetzt testhalber die Datei /etc/pam.d/kde durch /etc/pam.d/login ersetzt. Hurra, Anmeldung als User und root sind möglich. Zumindest in der virtuellen Maschine. Sicher muß diese Datei jetzt optimiert werden.

Gruß
silver345

Creshal

>Ich habe dann versuchsweise /etc/pam.d/kde geändert, daß auch eine Authentifizierung gegen LDAP möglich ist, nur kann ich mich dann nicht einmal mehr als root anmelden.

Und in was hast du sie geändert? 😉 PAM ist echt scheiße zu konfigurieren, ohne konkreten Code können wir da nur raten was schief lief.

silver345

Also, vor dem Totalschlag (/etc/pam.d/kde löschen und durch login ersetzen) habe ich - so wie in den Links von GerBra gezeigt, in /etc/pam.d/kde unter jede Zeile mit pam_unix eine Zeile mit pam_ldap eingefügt. Ergebnis: No login. Nicht mal root als lokaler User konnte sich anmelden. Ich habe dann schrittweise die Änderungen rückgängig gemacht (ssh sei dank). Aber sobald in /etc/pam.d/kde eine Zeile mit ldap stand war nix mit anmelden.
Obwohl: Grade fällt mir ein: In unserer LDAP-Umgebung gibt es wegen SAMBA auch einen root. Mit nem anderen Passwort als auf meiner Maschine. Dieses Passwort habe ich - trollig wie ich bin - natürlich nicht probiert. Aber als ich selbst konnte ich mich ja auch nicht anmelden. Da wird wohl root mit richtigem Passwort auch nicht gegangen sein. Und wer will schon immer root sein. Langweilig, alles zu dürfen. Dann könnte ich ja auch gleich Win...

Beruhigt bin ich ja ein wenig, daß auch andere pam für etwas gewöhnungsbedürftig halten. Ich finde die Doku echt rudimentär und die Suche nach Beispielen bringt auch nicht wirklich was. Eher noch mehr Verwirrung. Ich hatte dann schon versucht, eine funktionierende Konfiguration von Fedora 14 zu übernehmen. Aber das ging auch in die Hose... Zum Glück funktioniert mein Workarround. Mal sehen wie lange.

Gruß
silver345

Und vielen Dank für die Bemühungen. Vielleicht sollte ich versuchen, in einem der o. g. Links einen Hinweis auf mein Ergebnis zu platzieren. Obwohl mein Ansinnen ja nicht unbedingt Standard ist. Welcher Linux-NormalUser muß sich schon gegen einen LDAP-Server authentifizieren...

Einstellungen für pam nach:

http://www.howtoforge.com/linux_ldap_authentication

NACHTRAG: /etc/pam.d/login (testweise auch /etc/pam.d/kde,)

auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so

account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_ldap.so

password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password sufficient pam_unix.so nullok md5 shadow use_authtok
password sufficient pam_ldap.so use_first_pass
password required pam_deny.so

session required pam_limits.so
session required pam_unix.so
session optional pam_ldap.so