[LDAP-Users:404] Re: スクリーンセーバでロックされると、再ログインできない

Kenji Kikuchi kenji.kikuti @ ctc-g.co.jp
2009年 1月 15日 (木) 12:34:00 JST 

平澤 さん


こんにちは、菊池です。

> ここでおっしゃっているパスワードとはどの(だれの)バスワード
> になるのでしょうか?

先のメールで拝見したログには、以下の出力がありました。
>> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=2 BIND
>> ★dn="uid=hirasawa,ou=People,dc=hirasawa,dc=private"★ method=128
>> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=2 RESULT tag=97 err=49
>> text=
これより、
BIND(認証)処理は、以下のユーザ(DN)に対して行われていることがわかります。
   "uid=hirasawa,ou=People,dc=hirasawa,dc=private"

ですので、OpenLDAPサーバに登録したエントリ
   "uid=hirasawa,ou=People,dc=hirasawa,dc=private"
のuserPassword属性として保存している{MD5}形式の値、
([LDAP-Users:390]の内容からは)
----------------------------------------
> [root @ cent5-8 ~]# ldapsearch -x -c -D
> "cn=Manager,dc=hirasawa,dc=private" -W -b "dc=hirasawa,dc=private"
> "uid=hirasawa"
> Enter LDAP Password:
> # extended LDIF
...[略]...
> # hirasawa, People, hirasawa.private
> dn: uid=hirasawa,ou=People,dc=hirasawa,dc=private
...[略]...
> userPassword:: e21kNX0kMSRvQ1l5Tk9yayRWRUgzNlhRQWw2dDBua1pkR0hDcGwu
----------------------------------------
# echo -n "e21kNX0kMSRvQ1l5Tk9yayRWRUgzNlhRQWw2dDBua1pkR0hDcGwu" | base64 -d ; echo
{md5}$1$oCYyNOrk$VEH36XQAl6t0nkZdGHCpl.

と、スクリーンセーバ解除時にタイプしOpenLDAPサーバに送付されている値が
{MD5}形式に変換された後に、同じであるかを確認する必要があるかと思います。


> /var/log/messageにはldapがらみのログはなんも
私の環境で、スクリーンセーバのパスワードを間違うと、/var/log/messages は、
以下のような出力があるので、確認してみました。
-------------------
[Date Time] [Host name] gnome-screensaver-dialog: pam_ldap: error trying to bind as user [DN ...例えば"uid=hirasawa,ou=People,dc=hirasawa,dc=private"] (Invalid credentials)
-------------------


今回はできたー、今回はできないーと、結果が不規則なこともあり入力を疑いました。


toshi hirasawa wrote:
> こんばんは、
> 菊池さん、ご返答ありがとうございます。
> 
> 確かにgnome-screensaverの再ログインでは
> err=49が
> 毎回でていいますね。
> 
>> ユーザ名を利用した認証になると、err=49 とNGですので、
>> パスワードが違うのではないでしょうか。
> 
> ここでおっしゃっているパスワードとはどの(だれの)バスワード
> になるのでしょうか?
> 
>> この他、/var/log/messagesには、gnome-screensaver-dialogも
>> 認証(bind)に失敗したことを認識している旨のメッセージがないでしょうか。
> 
> /var/log/messageにはldapがらみのログはなんも
> 
> 
> 
> 不勉強で、教えていただくばかりですがすいませんが、
> 引き続きヒントをいただければとおもいます。
> 
> 平澤
> 
> 
> 
> Kenji Kikuchi さんは書きました:
>> こんばんは、菊池と申します。
>>
>>
>> 認証処理(BIND)を追っていくと、
>>
>>   
>>> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=0 BIND dn="" method=128
>>> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=0 RESULT tag=97 ★err=0★ text=
>>>     
>> 匿名認証(BIND dn="")はOKですが、
>>
>>   
>>> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=2 BIND
>>> dn="uid=hirasawa,ou=People,dc=hirasawa,dc=private" method=128
>>> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=2 RESULT tag=97 ★err=49★
>>> text=
>>>     
>> ユーザ名を利用した認証になると、err=49 とNGですので、
>> パスワードが違うのではないでしょうか。
>>
>>
>> # tar zxvf openldap-2.4.11.tar.gz
>> # cd openldap-2.4.11
>> # view ./include/ldap.h
>> ...[略]...
>> #define LDAP_INVALID_CREDENTIALS        0x31
>>   => 10進では、49
>>
>> # man doc/man/man3/ldap_error.3
>> ...[略]...
>> PROTOCOL RESULT CODES
>>        This  section  provides a partial list of protocol codes recognized by the
>>        library.  As LDAP is extensible, additional values  may  be  returned.   A
>>        complete  listing of registered LDAP result codes can be obtained from the
>>        Internet Assigned Numbers Authority <http://www.iana.org>.
>> ...[略]...
>>        LDAP_INVALID_CREDENTIALS
>>                            Invalid  credentials  were  presented (e.g., the wrong
>>                            password).
>>
>>
>> この他、/var/log/messagesには、gnome-screensaver-dialogも
>> 認証(bind)に失敗したことを認識している旨のメッセージがないでしょうか。
>>
>> ログからは、認証処理(送付されているパスワード?)を疑いたくなります。
>>
>>
>>
>>   
> 
> 


-- 
伊藤忠テクノソリューションズ株式会社
 ITエンジニアリング室 
  プラットフォーム推進部 Linux/OSS技術課

    菊池  研自  (Kenji Kikuchi)

 TEL:03-6203-3804 FAX:03-5512-3026
 E-mail: kenji.kikuti @ ctc-g.co.jp

----------------------------------------

LDAP-Users メーリングリストの案内