[LDAP-Users:399] Re: スクリーンセーバでロックされると、再ログインできない
Kenji Kikuchi
kenji.kikuti @ ctc-g.co.jp
2009年 1月 14日 (水) 20:28:22 JST
こんばんは、菊池と申します。
認証処理(BIND)を追っていくと、
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=0 BIND dn="" method=128
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=0 RESULT tag=97 ★err=0★ text=
匿名認証(BIND dn="")はOKですが、
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=2 BIND
> dn="uid=hirasawa,ou=People,dc=hirasawa,dc=private" method=128
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=2 RESULT tag=97 ★err=49★
> text=
ユーザ名を利用した認証になると、err=49 とNGですので、
パスワードが違うのではないでしょうか。
# tar zxvf openldap-2.4.11.tar.gz
# cd openldap-2.4.11
# view ./include/ldap.h
...[略]...
#define LDAP_INVALID_CREDENTIALS 0x31
=> 10進では、49
# man doc/man/man3/ldap_error.3
...[略]...
PROTOCOL RESULT CODES
This section provides a partial list of protocol codes recognized by the
library. As LDAP is extensible, additional values may be returned. A
complete listing of registered LDAP result codes can be obtained from the
Internet Assigned Numbers Authority <http://www.iana.org>.
...[略]...
LDAP_INVALID_CREDENTIALS
Invalid credentials were presented (e.g., the wrong
password).
この他、/var/log/messagesには、gnome-screensaver-dialogも
認証(bind)に失敗したことを認識している旨のメッセージがないでしょうか。
ログからは、認証処理(送付されているパスワード?)を疑いたくなります。
toshi hirasawa wrote:
> こんばんは、
> 昨日はサーバの再起動でうまくいったような気がしておりましたが、
> 本日はクライアント2台とも同じところ(つまりgnome-screensaverでの再認証)
> でとまってしまっています。(なんで?!)
> 昨晩、解決?メールを送ったあと、
> いろいろと実験はしていたものの、サーバ、クライアントともに設定は変更をし
> たつもりは
> ありません。 謎です。(ま、すこしはいじりましたけど)
>
> また、スタートラインに逆もどりです。(涙
>
> で、見方を変えて、下記のログは
> クライアント1台(192.168.1.8)にてログインして、そのまますぐに画面ロック
> をかけ、
> スクリーンセイバー画面が再認証をしたときのサーバのログ(192.168.1.30)
> です。
>
> 時系列的には
> 19:12:49 サーバ上でldapサービスを再起動
> 19:13:32 クライアントでログイン
>
> そのごすぐに画面ロックをかけて
>
> 19:14:40 スクリーンセイバー画面から再認証(はいれない)
>
> という流れです。
>
> /etc/syslog.confにて
> local4.* /var/log/ldap.log
> と記述してログをとっています。
>
> ログをみる限り、これだ!って感じの部分はみえないのですが、
> もうちょっと細かいログのとり方とかあれば、ご教授いただけませんでしょうか?
>
> また、このときの/var/log/secureは
> Jan 14 19:12:49 cent5-30 runuser: pam_unix(runuser:session): session
> opened for user ldap by hirasawa(uid=0)
> Jan 14 19:12:49 cent5-30 runuser: pam_unix(runuser:session): session
> closed for user ldap
>
> となっています。
>
> ログから読み取れるヒントとかありましたら、ご教授くださいませ
>
> よろしくお願いいたします。
>
> 平澤
>
>
> Jan 14 19:12:49 cent5-30 slapd[5389]: slapd shutdown: waiting for 0
> threads to terminate
> Jan 14 19:12:49 cent5-30 slapd[5389]: slapd stopped.
> Jan 14 19:12:49 cent5-30 slapd[5477]: @(#) $OpenLDAP: slapd 2.3.27 (Jul
> 9 2008 13:10:56) $
> mockbuild @ builder16.centos.org:/builddir/build/BUILD/openldap-2.3.27/openldap-2.3.27/build-servers/servers/slapd
>
> Jan 14 19:12:49 cent5-30 slapd[5478]: slapd starting
>
>
>
>
>
>
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=0 fd=13 ACCEPT from
> IP=192.168.1.8:39952 (IP=0.0.0.0:389)
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=0 op=0 BIND dn="" method=128
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=0 op=0 RESULT tag=97 err=0 text=
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=0 op=1 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0 filter="(uid=hirasawa)"
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=0 op=1 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=1 fd=16 ACCEPT from
> IP=192.168.1.8:39953 (IP=0.0.0.0:389)
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=1 op=0 BIND dn="" method=128
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=1 op=0 RESULT tag=97 err=0 text=
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=1 op=1 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=posixAccount)(uid=hirasawa))"
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=1 op=1 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=1 op=2 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=posixGroup)(|(memberUid=hirasawa)(uniqueMember=uid=hirasawa,ou=people,dc=hirasawa,dc=private)))"
>
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=1 op=2 SRCH attr=gidNumber
> Jan 14 19:13:35 cent5-30 slapd[5478]: <= bdb_equality_candidates:
> (uniqueMember) index_param failed (18)
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=1 op=2 SEARCH RESULT tag=101
> err=0 nentries=0 text=
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=0 op=2 UNBIND
> Jan 14 19:13:35 cent5-30 slapd[5478]: conn=0 fd=13 closed
> Jan 14 19:13:35 cent5-30 slapd[5478]: connection_read(13): no connection!
> Jan 14 19:13:37 cent5-30 slapd[5478]: conn=2 fd=13 ACCEPT from
> IP=192.168.1.8:39954 (IP=0.0.0.0:389)
> Jan 14 19:13:37 cent5-30 slapd[5478]: conn=2 op=0 BIND dn="" method=128
> Jan 14 19:13:37 cent5-30 slapd[5478]: conn=2 op=0 RESULT tag=97 err=0 text=
> Jan 14 19:13:37 cent5-30 slapd[5478]: conn=2 op=1 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=posixAccount)(uid=hirasawa))"
> Jan 14 19:13:37 cent5-30 slapd[5478]: conn=2 op=1 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:13:37 cent5-30 slapd[5478]: conn=2 op=2 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=posixGroup)(|(memberUid=hirasawa)(uniqueMember=uid=hirasawa,ou=people,dc=hirasawa,dc=private)))"
>
> Jan 14 19:13:37 cent5-30 slapd[5478]: conn=2 op=2 SRCH attr=gidNumber
> Jan 14 19:13:37 cent5-30 slapd[5478]: <= bdb_equality_candidates:
> (uniqueMember) index_param failed (18)
> Jan 14 19:13:37 cent5-30 slapd[5478]: conn=2 op=2 SEARCH RESULT tag=101
> err=0 nentries=0 text=
> Jan 14 19:13:37 cent5-30 slapd[5478]: conn=2 fd=13 closed (connection lost)
> Jan 14 19:13:39 cent5-30 slapd[5478]: conn=3 fd=13 ACCEPT from
> IP=192.168.1.8:39955 (IP=0.0.0.0:389)
> Jan 14 19:13:39 cent5-30 slapd[5478]: conn=3 op=0 BIND dn="" method=128
> Jan 14 19:13:39 cent5-30 slapd[5478]: conn=3 op=0 RESULT tag=97 err=0 text=
> Jan 14 19:13:39 cent5-30 slapd[5478]: conn=3 op=1 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=posixAccount)(uid=hirasawa))"
> Jan 14 19:13:39 cent5-30 slapd[5478]: conn=3 op=1 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:13:39 cent5-30 slapd[5478]: conn=3 op=2 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=posixGroup)(|(memberUid=hirasawa)(uniqueMember=uid=hirasawa,ou=people,dc=hirasawa,dc=private)))"
>
> Jan 14 19:13:39 cent5-30 slapd[5478]: conn=3 op=2 SRCH attr=gidNumber
> Jan 14 19:13:39 cent5-30 slapd[5478]: <= bdb_equality_candidates:
> (uniqueMember) index_param failed (18)
> Jan 14 19:13:39 cent5-30 slapd[5478]: conn=3 op=2 SEARCH RESULT tag=101
> err=0 nentries=0 text=
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 fd=18 ACCEPT from
> IP=192.168.1.8:39956 (IP=0.0.0.0:389)
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=0 BIND dn="" method=128
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=0 RESULT tag=97 err=0 text=
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=1 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=posixAccount)(uid=hirasawa))"
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=1 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=2 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=posixGroup)(|(memberUid=hirasawa)(uniqueMember=uid=hirasawa,ou=people,dc=hirasawa,dc=private)))"
>
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=2 SRCH attr=gidNumber
> Jan 14 19:13:40 cent5-30 slapd[5478]: <= bdb_equality_candidates:
> (uniqueMember) index_param failed (18)
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=2 SEARCH RESULT tag=101
> err=0 nentries=0 text=
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=3 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=posixAccount)(uid=hirasawa))"
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=3 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=4 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=posixGroup)(|(memberUid=hirasawa)(uniqueMember=uid=hirasawa,ou=people,dc=hirasawa,dc=private)))"
>
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=4 SRCH attr=gidNumber
> Jan 14 19:13:40 cent5-30 slapd[5478]: <= bdb_equality_candidates:
> (uniqueMember) index_param failed (18)
> Jan 14 19:13:40 cent5-30 slapd[5478]: conn=4 op=4 SEARCH RESULT tag=101
> err=0 nentries=0 text=
>
>
>
> Jan 14 19:14:40 cent5-30 slapd[5478]: conn=5 fd=19 ACCEPT from
> IP=192.168.1.8:39973 (IP=0.0.0.0:389)
> Jan 14 19:14:40 cent5-30 slapd[5478]: conn=5 op=0 BIND dn="" method=128
> Jan 14 19:14:40 cent5-30 slapd[5478]: conn=5 op=0 RESULT tag=97 err=0 text=
> Jan 14 19:14:40 cent5-30 slapd[5478]: conn=5 op=1 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=shadowAccount)(uid=hirasawa))"
> Jan 14 19:14:40 cent5-30 slapd[5478]: conn=5 op=1 SRCH attr=uid
> userPassword shadowLastChange shadowMax shadowMin shadowWarning
> shadowInactive shadowExpire shadowFlag
> Jan 14 19:14:40 cent5-30 slapd[5478]: conn=5 op=1 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:14:42 cent5-30 slapd[5478]: conn=5 op=2 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=shadowAccount)(uid=hirasawa))"
> Jan 14 19:14:42 cent5-30 slapd[5478]: conn=5 op=2 SRCH attr=uid
> userPassword shadowLastChange shadowMax shadowMin shadowWarning
> shadowInactive shadowExpire shadowFlag
> Jan 14 19:14:42 cent5-30 slapd[5478]: conn=5 op=2 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:14:42 cent5-30 slapd[5478]: conn=6 fd=20 ACCEPT from
> IP=192.168.1.8:39974 (IP=0.0.0.0:389)
> Jan 14 19:14:42 cent5-30 slapd[5478]: conn=6 op=0 BIND dn="" method=128
> Jan 14 19:14:42 cent5-30 slapd[5478]: conn=6 op=0 RESULT tag=97 err=0 text=
> Jan 14 19:14:42 cent5-30 slapd[5478]: conn=6 op=1 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0 filter="(uid=hirasawa)"
> Jan 14 19:14:42 cent5-30 slapd[5478]: conn=6 op=1 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:14:42 cent5-30 slapd[5478]: conn=6 op=2 BIND dn="" method=128
> Jan 14 19:14:42 cent5-30 slapd[5478]: conn=6 op=2 RESULT tag=97 err=0 text=
> Jan 14 19:14:45 cent5-30 slapd[5478]: conn=6 op=3 UNBIND
> Jan 14 19:14:45 cent5-30 slapd[5478]: conn=6 fd=20 closed
> Jan 14 19:14:45 cent5-30 slapd[5478]: conn=5 op=3 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=shadowAccount)(uid=hirasawa))"
> Jan 14 19:14:45 cent5-30 slapd[5478]: conn=5 op=3 SRCH attr=uid
> userPassword shadowLastChange shadowMax shadowMin shadowWarning
> shadowInactive shadowExpire shadowFlag
> Jan 14 19:14:45 cent5-30 slapd[5478]: conn=5 op=3 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=5 op=4 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=shadowAccount)(uid=hirasawa))"
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=5 op=4 SRCH attr=uid
> userPassword shadowLastChange shadowMax shadowMin shadowWarning
> shadowInactive shadowExpire shadowFlag
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=5 op=4 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 fd=20 ACCEPT from
> IP=192.168.1.8:39975 (IP=0.0.0.0:389)
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=0 BIND dn="" method=128
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=0 RESULT tag=97 err=0 text=
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=1 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0 filter="(uid=hirasawa)"
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=1 SEARCH RESULT tag=101
> err=0 nentries=1 text=
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=2 BIND
> dn="uid=hirasawa,ou=People,dc=hirasawa,dc=private" method=128
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=2 RESULT tag=97 err=49
> text=
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=3 BIND dn="" method=128
> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=3 RESULT tag=97 err=0 text=
> Jan 14 19:14:52 cent5-30 slapd[5478]: conn=7 op=4 UNBIND
> Jan 14 19:14:52 cent5-30 slapd[5478]: conn=7 fd=20 closed
> Jan 14 19:14:52 cent5-30 slapd[5478]: conn=5 op=5 SRCH
> base="dc=hirasawa,dc=private" scope=2 deref=0
> filter="(&(objectClass=shadowAccount)(uid=hirasawa))"
> Jan 14 19:14:52 cent5-30 slapd[5478]: conn=5 op=5 SRCH attr=uid
> userPassword shadowLastChange shadowMax shadowMin shadowWarning
> shadowInactive shadowExpire shadowFlag
> Jan 14 19:14:52 cent5-30 slapd[5478]: conn=5 op=5 SEARCH RESULT tag=101
> err=0 nentries=1 text=
>
>
>
>
> toshi hirasawa さんは書きました:
>> みなさん、こんばんは。
>>
>> お騒がせいたしましたが、
>> サーバのldapサービスをrestartしたところ、screensaver状態から接続できるように
>> なってしまいました。
>>
>> 最初に試してみるべきでしたね。 どうもすいませんでした。
>>
>> 今となっては全然意味がありませんが
>> ちなみに2台のクライアント(うごいていたやつとうごかなかったやつ)
>> の差分を以下のファイルにて比較したところ、
>> /etc/ldap.conf 差なし
>> /etc/nsswitch.conf ちょっと違うが問題ないレベル
>> /etc/pam.d/gnome-screensaver まったくおんなじ
>> /etc/pam.d/system-auth まったくおんなじ
>>
>> とまぁ、クライアント側が無罪の様子であったことをあわせて報告しておきます。
>>
>> ありがとうございました。
>>
>> 平澤@サーバでなにがおこっていたんだろう?いまとなってはわからないです
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>
>
--
伊藤忠テクノソリューションズ株式会社
ITエンジニアリング室
プラットフォーム推進部 Linux/OSS技術課
菊池 研自 (Kenji Kikuchi)
TEL:03-6203-3804 FAX:03-5512-3026
E-mail: kenji.kikuti @ ctc-g.co.jp
----------------------------------------
LDAP-Users メーリングリストの案内