Univention Bugzilla – Bug 16159
Anmeldung am Managedclient nicht möglich
Last modified: 2009-12-21 08:46:51 CET
An einem frisch Installierten Managedclient kann man sich als Benutzer nicht per ssh anmelden (alles andere nicht getestet): Oct 29 14:01:31 overhead23qa nscd: nss_ldap: reconnecting to LDAP server... Oct 29 14:01:31 overhead23qa nscd: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)... Oct 29 14:01:32 overhead23qa nscd: nss_ldap: could not search LDAP server - Server is unavailable Oct 29 14:01:32 overhead23qa sshd[7279]: Invalid user janis from 192.168.0.165 Oct 29 14:01:32 overhead23qa sshd[7279]: Failed none for invalid user janis from 192.168.0.165 port 53381 ssh2 Oct 29 14:01:36 overhead23qa sshd[7279]: pam_unix(sshd:auth): check pass; user unknown Oct 29 14:01:36 overhead23qa sshd[7279]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=norna.knut.univention.de Oct 29 14:01:36 overhead23qa sshd[7279]: pam_ldap: error trying to bind as user "uid=janis,cn=tech,cn=users,dc=knut,dc=univention,dc=de" (Invalid credentials) Oct 29 14:01:38 overhead23qa sshd[7279]: Failed password for invalid user janis from 192.168.0.165 port 53381 ssh2 Manueller LDAP bind sowie ldapsearch mit Administrators kerberos Ticket geht.
Das Problem hängt mit den Zertifikaten zusammen. Wenn TLS in der /etc/libnss-ldap.conf deaktiviert wird bzw. 'tls_checkpeer no' gesetzt wird. Ist die Auflösung von Benutzern wieder möglich. In der Version 2.4.2-6+lenny1 von gnutls wurden ähnliche Probleme behoben, allerdings scheint das unser Problem nicht zu lösen. http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=514735 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=514807
Die Überprüfung der Serverzertifikate wird jetzt per Default deaktiviert, da sonst unsere alten Zertifikate nicht mehr als gültig anerkannt werden. Über die UCR-Variable nssldap/tls/checkpeer kann das wieder aktiviert werden.
Der Patch löst das Problem. Mit # ucr set nssldap/tls/checkpeer=yes lässt sich das beschriebenen Problem reproduzieren, bei # ucr set nssldap/tls/checkpeer=no tritt es nicht mehr auf. (Ggf. nscd stoppen) ChangeLog-Eintrag ist vorhanden.
UCS 2.3 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".