[LDAP-Users:405] Re: スクリーンセーバでロックされると、再ログインできない
toshi hirasawa
toshi_hirasawa @ guitar.ocn.ne.jp
2009年 1月 15日 (木) 15:50:32 JST
こんにちは、菊池さま
いろいろと丁寧にご教授いただき
ありがとうございます。
最初にひとつ訂正されていただきます。
クライアントでの/var/log/messagをみてみたところ
gnome-screensaver-dialog: pam_ldap: error tring to bind as u ser
"dn=hirasawa,ou=People,
dc=hirasawa,dc=private" (Invalid credentials)
がでてました。
(サーバの方をみて、無いとかおもってましたよ、あほですね > 自分)
なにが流れているをみるため、wiresharkを使ってパケットを調べてみました。
LDAPのパケットのやり取りのシーケンスがわかっていないため、
それぞれ、サーバとクライアントでなにをやっているのか?なのですが、
こんな感じです。
********* ロック状態から hirasawaで再ログインしようとしているケース
********
左がクライアント 、右がサーバです。
>> の矢印が 左から右への流れ
<< の矢印が 右から左への流れです。
--------- ここから --------------------------------------------
>> BindRequest(1) "<root>" simple
<< BindRequest(1) success
>> SearchRequest(2) "dc=hirasawa,dc=private" wholeSubtree
<< SerachResEntry(2) "uid=hirasawa,ou=People,dc=hirasawa,dc=private"
<< SerachResEntry(2) success [1 result]
>> SearchRequest(3) "dc=hirasawa,dc=private" wholeSubtree
<< SerachResEntry(3) "uid=hirasawa,ou=People,dc=hirasawa,dc=private"
<< SerachResEntry(3) success [1 result]
>> BindRequest(1) "<root>" simple
<< BindRequest(1) success
>> SearchRequest(2) "dc=hirasawa,dc=private" wholeSubtree
<< SerachResEntry(2) "uid=hirasawa,ou=People,dc=hirasawa,dc=private"
<< SerachResEntry(2) success [1 result]
>> BindRequest(3) "uid=hirasawa,ou=People,dc=hirasawa,dc=private" simple
<< BindRequest(3) invalidCredentials
>> BindRequest(4) "<root> " simple
<< BindRequest(4) success
>> UnbindReqest(5)
>> SearchRequest(4) "dc=hirasawa,dc=private" WholeSubtree
<< SerachResEntry(4) "uid=hirasawa,ou=People,dc=hirasawa,dc=private"
<< SerachResEntry(4) success [1 result]
と、LDAPの部分だけ抜き出してかいてみました。
菊池さんのおっしゃるように <root>ではなく hirasawa権限でbindしようとして
けられている(invalidCredentials)のようで、
自分なりに解釈すると
ldapsearch -x -D "cn=Manager,dc=hirasawa,dc=private"はOKだけど
ldapserch -x -D "uid=hirasawa,ou=People,dc=hiraawa,dc=pviate"は許しません
ってことでしょうか?
Kenji Kikuchi さんは書きました:
> 平澤 さん
>
>
> こんにちは、菊池です。
>
>
>> ここでおっしゃっているパスワードとはどの(だれの)バスワード
>> になるのでしょうか?
>>
>
> 先のメールで拝見したログには、以下の出力がありました。
>
>>> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=2 BIND
>>> ★dn="uid=hirasawa,ou=People,dc=hirasawa,dc=private"★ method=128
>>> Jan 14 19:14:50 cent5-30 slapd[5478]: conn=7 op=2 RESULT tag=97 err=49
>>> text=
>>>
> これより、
> BIND(認証)処理は、以下のユーザ(DN)に対して行われていることがわかります。
> "uid=hirasawa,ou=People,dc=hirasawa,dc=private"
>
> ですので、OpenLDAPサーバに登録したエントリ
> "uid=hirasawa,ou=People,dc=hirasawa,dc=private"
> のuserPassword属性として保存している{MD5}形式の値、
> ([LDAP-Users:390]の内容からは)
> ----------------------------------------
>
>> [root @ cent5-8 ~]# ldapsearch -x -c -D
>> "cn=Manager,dc=hirasawa,dc=private" -W -b "dc=hirasawa,dc=private"
>> "uid=hirasawa"
>> Enter LDAP Password:
>> # extended LDIF
>>
> ...[略]...
>
>> # hirasawa, People, hirasawa.private
>> dn: uid=hirasawa,ou=People,dc=hirasawa,dc=private
>>
> ...[略]...
>
>> userPassword:: e21kNX0kMSRvQ1l5Tk9yayRWRUgzNlhRQWw2dDBua1pkR0hDcGwu
>>
> ----------------------------------------
> # echo -n "e21kNX0kMSRvQ1l5Tk9yayRWRUgzNlhRQWw2dDBua1pkR0hDcGwu" | base64 -d ; echo
> {md5}$1$oCYyNOrk$VEH36XQAl6t0nkZdGHCpl.
>
> と、スクリーンセーバ解除時にタイプしOpenLDAPサーバに送付されている値が
> {MD5}形式に変換された後に、同じであるかを確認する必要があるかと思います。
>
>
>
>> /var/log/messageにはldapがらみのログはなんも
>>
> 私の環境で、スクリーンセーバのパスワードを間違うと、/var/log/messages は、
> 以下のような出力があるので、確認してみました。
> -------------------
> [Date Time] [Host name] gnome-screensaver-dialog: pam_ldap: error trying to bind as user [DN ...例えば"uid=hirasawa,ou=People,dc=hirasawa,dc=private"] (Invalid credentials)
> -------------------
>
>
> 今回はできたー、今回はできないーと、結果が不規則なこともあり入力を疑いました。
>
>
> toshi hirasawa wrote:
>
>> こんばんは、
>> 菊池さん、ご返答ありがとうございます。
>>
>> 確かにgnome-screensaverの再ログインでは
>> err=49が
>> 毎回でていいますね。
>>
>>
>>> ユーザ名を利用した認証になると、err=49 とNGですので、
>>> パスワードが違うのではないでしょうか。
>>>
>> ここでおっしゃっているパスワードとはどの(だれの)バスワード
>> になるのでしょうか?
>>
>>
>>> この他、/var/log/messagesには、gnome-screensaver-dialogも
>>> 認証(bind)に失敗したことを認識している旨のメッセージがないでしょうか。
>>>
>> /var/log/messageにはldapがらみのログはなんも
>>
>>
>>
>>
LDAP-Users メーリングリストの案内