OpenLDAP não autêntica - unauthenticated bind (DN with no password) disallowed [RESOLVIDO]

Slack00
(usa Slackware)

Enviado em 03/03/2015 - 10:53h

Bom Dia Galera estou com um problema ao migrar o meu ldap para outro servidor [SO Slackware 14.1].
acontece que ele funciona [eu consigo inicializa-lo], executo o comando ldapsearch -xLL ele me trás todos usuários, no meu SO ja configurei o nss_ldap porem quando executo o comando id usuario_cadastrado_no_ldap ele demora e me retona um erro e no log do ldap ele joga essa mensagem .:

=> ldap_bv2dn(cn=nssuser,dc=tntedu,dc=com,dc=br,0)
<= ldap_bv2dn(cn=nssuser,dc=tntedu,dc=com,dc=br)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(cn=nssuser,dc=tntedu,dc=com,dc=br)=0
=> ldap_dn2bv(272)
<= ldap_dn2bv(cn=nssuser,dc=tntedu,dc=com,dc=br)=0
54f5d5c0 send_ldap_result: err=53 matched="" text="unauthenticated bind (DN with no password) disallowed"


segue abaixo a configuração do meu slapd.conf.:

#
# Definicoes de ObjectClass e Attributes
#
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/samba.schema
#include /etc/openldap/schema/qmail.schema
#
# Local de armazenamento dos dados de PID e afins
#
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
#
# Parametros para fazer o ldappasswd gerar hashes no formato Crypt/MD5
#
password-hash {CRYPT}
password-crypt-salt-format "$1$%.8s"
#
# Permitir que clients mais antigos consigam se conectar ao servidor
#

#allow bind_v2


access to attrs=userPassword
by self write
by dn="cn=nssuser,dc=tntedu,dc=com,dc=br" read
by anonymous auth
access to attrs=sambaLMPassword,sambaNTPassword
by self write
by anonymous auth
access to *
by * read
#
# Tipo de backend que o OpenLDAP vai usar. Por padrao, eh bdb (Berkeley DB) no OpenLDAP 2.1.x
#
database bdb


suffix "dc=tntedu,dc=com,dc=br"


rootdn "cn=Manager,dc=tntedu,dc=com,dc=br"
rootpw {SSHA}SHEaO7FG7Z5TE/JhvAnhGAFL70vhEWBF

directory /home/openldap-data
#
# Indices pra agilizar a pesquisa
#
#index objectClass eq
#index uid eq
#index gidNumber eq
#index uidNumber eq

# para samba e qmail
index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
#index memberUid,mail,mailAlternateAddress,givenname,accountStatus,mailHost,deliveryMode eq
#index memberUid,mail,givenname eq
index memberUid eq
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq
index default sub


Alguêm poderia ajudar?

danielmb
(usa Gentoo)

Enviado em 03/03/2015 - 11:14h

Slack00,
cara, pode ter algum erro na configuração do nss.
Você viu algum erro nos logs dos sistema, principalmente no que se refere a autenticação? Não sei como é no slack, mas algo como auth.log ou mesmo no messages.
Verifique se encontre algum problema no cliente, se você configurou adequadamente. O que aparenta é que está tentado fazer autenticação sem senha.

Slack00
(usa Slackware)

Enviado em 03/03/2015 - 11:37h

Ola danielmb então realmente ele esta tentando autenticar sem senha porem tenho alguns serviços que necessitão de autênticação desta forma, ja li sobre tmb ele falam para habilitar Unauthenticated Binds no ldap porém esta forma não deu certo no slackware ao dar o comando para a modificação e informar a senha [que esta no slapd.conf] ele me da um erro de credenciais invalidas.

segue o link que eu estava seguindo .:

https://access.redhat.com/documentation/en-US/Red_Hat_Directory_Server/8.1/html/Administration_Guide...

danielmb
(usa Gentoo)

Enviado em 04/03/2015 - 08:41h

Então Slack00,
como você está realizando a configuração do LDAP, através do ldap.conf ou com configuração dinâmica.
As instruções que você está seguindo são para configuração dinâmica, sem a existência do arquivo slapd.conf, utilizando a árvore cn=config para manter a configuração.

Slack00
(usa Slackware)

Enviado em 04/03/2015 - 08:58h

Bom Dia danielmb , então consegui resolver o problema realmente ele estava tentando autênticar sem senha apesar de eu ler em foruns que a senha eu poderia colocar no arquivo /etc/ldap.secret tive que setar a linha bindpw no arquivo /etc/ldap.conf dessa forma funcionou segue meu arquivo alterado.:

cat /etc/ldap.conf
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE dc=example, dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never

HOST 127.0.0.1
BINDDN cn=nssuser,dc=tntedu,dc=com,dc=br
bindpw senhaemtextopuro
BASE dc=tntedu,dc=com,dc=br
URI ldap://dc=tntedu,dc=com,dc=br
SASL yes

Slack00
(usa Slackware)

Enviado em 04/03/2015 - 09:06h

Porém agora estou com outra duvida, sobre validações do samba com ldap para não poluir este tópico com outra duvida além da que esta no tópico vou criar outro tópico se puder responder no outro eu agradeço, vou criar com o nome de .: validação samba com ldap para todas ações nos compartilhamento


Agradeço desde já.

danielmb
(usa Gentoo)

Enviado em 04/03/2015 - 09:35h

ok, então passa a régua no tópico. Verei se posso te ajudar no outro