Web Access Login über PAM, SALS, LDAP nicht möglich

[leo.unglaub]

Hallo VMware-Freunde,
ich habe ein kleines Problem bei dem ich eure hilfe bräuchte. Ich habe hier in der Firma auf einem Server VMware Server 2 laufen. VM läuft auf einem Debian Server. Virtuell läuft dort ein Windows XP. Ich kann mich am Web Interface mit Usern des Host-Servers problemlos anmelden. (mit root) Das Host-System hohlt sich User von einem anderen LDAP-Server. Dies geschieht per SASL. Dementsprechend habe ich auch die /etc/nsswitch.conf bearbeitet.

Code: Alles auswählen

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis


Meine saslauthd.conf sieht so aus: (Passwörter natürlich geändert)

Code: Alles auswählen

ldap_auth_method: bind
ldap_bind_dn: cn=ldapadmin,dc=e-c-o,dc=net
ldap_bind_pw: xxxxxx
ldap_deref: always
ldap_restart: yes
ldap_scope: sub
ldap_search_base: ou=smbUser,ou=dc,ou=at,dc=e-c-o,dc=net
ldap_servers: ldap://192.168.1.230:389
ldap_time_limit: 15
ldap_timeout: 15
ldap_version: 3


Dieses Setup funktioniert prima für Samba und co. Ein getent passwd bestätigt das.

Code: Alles auswählen

unglaub:x:1005:513:System User:/var/files/profiles/unglaub:/bin/false


Dieser User erscheint auch im Web Interface. Wenn ich ihn dort dann in die Gruppe Administrator verschieben möchte passiert folgendes:
The server response included one or more errors.
Details: RuntimeFault: Database temporarily unavailable or has network problems.

Ein Login mit diesem User ist dann nicht möglich.

Weiß jemand von euch wodran das liegen könnte?
Vielen Dank und viele GRüße
Leo

[leo.unglaub]

Hallo !
Ich bin nun etwas weiter gekommen. Ich konnte nun im Web Access Tool meinen LDAP-User aus der Liste auswählen und ihm zum testen mal alle Rechte zuweisen. Das Speichern erfolgt ohne Fehlermeldung. Wenn ich mich nun mit dem User unglaub einloggen möchte bekomme ich folgenden Fehler im Log-File:

Code: Alles auswählen

[2009-11-30 09:29:26.694 'ha-eventmgr' 1101719888 info] Event 3 : Failed login attempt for unglaub@127.0.0.1
[2009-11-30 09:29:26.694 'PropertyProvider' 1101719888 verbose] RecordOp ASSIGN: latestEvent, ha-eventmgr
[2009-11-30 09:29:26.694 'Vmomi' 1101719888 info] Activation [N5Vmomi10ActivationE:0x6a17760] : Invoke done [login] on [vim.SessionManager:ha-sessionmgr]
[2009-11-30 09:29:26.694 'Vmomi' 1101719888 info] Throw vim.fault.InvalidLogin
[2009-11-30 09:29:26.694 'Vmomi' 1101719888 info] Result:
(vim.fault.InvalidLogin) {
   dynamicType = <unset>,
   msg = ""
}


Meine /etc/pam.d/vmware-authd sieht so aus:

Code: Alles auswählen

#%PAM-1.0
auth       required     pam_unix.so shadow nullok
account    required     pam_unix.so


Kann mir da irgend wer weiterhelfen? Vielen Dank und viele Grüße
Leo

[Dayworker]

Nur mal soviel, die Benutzerverwaltung des VMservers ist autark vom restlichen Host-System. Wenn du also Rollen für einzelne Benutzer anlegen willst, mußt du das schon selbst über die Web-Browser IE6/7 oder FF2/3 (alle nur 32bittig) per Web-Access oder mit dem Vi-Client auf dem VMserver machen.
Falls du selber direkt was an einigen Config-Dateien des VMserver2 ändern willst/mußt, dürfen keinerlei VMware-Dienste/Damons mehr laufen. Ansonsten werden alle Änderungen zur Laufzeit wieder durch eine RAM-Kopie überschrieben.

[leo.unglaub]

Hallo !
Danke für deine Antwort. Ich glaube ich habe mich oben etwas falsch ausgedrückt. Ich habe den User aus dem LDAP-Server über das Web-Interface in die Rolle Administrator eingefügt, aber dieser kann sich nicht anmelden. Es kommt immer die oben beschriebene Fehlermeldung. Im Web Interface werden die LDAP-User aber aufgelistet.

Vielen Dank und viele GRüße
Leo

[Dayworker]

Hast du dem Host mal einen kompletten Reboot gegönnt?

[leo.unglaub]

Hallo !
Das habe ich nun probiert, aber es hat nichts gebracht. Das komische ist echt, dass die User im Webinterface alle erscheinen, ich kann ihnen Rollen zuweisen, alles. Aber der Login geht dann nicht.

Ich habe mich mal durch ein paar RFC's, Mailinglisten und co durchgewühlt und 2 Punkte gefunden:

Kann es sein, dass der Login scheitert, weil die Userpasswörter im LDAP nicht Plain gespeichert sind sondern sha1.
Kann es sein, dass der Login nicht geht, weil der User keine Shell hat (bin/false)?

Vielen Dank und viele GRüße
Leo

[Dayworker]

Im Handbuch in Kapitel "Managing Roles and Permissions" ab Seite 201ff steht dazu nur: "Users are created and managed using the mechanisms provided by the host operating system." Wenn du also was konstruierst, könnte daß daneben gehen und du hast dann die 2 Möglichkeiten des Ausprobierens oder du versuchst eine Antwort im VMTN zu finden.

Die Frage wäre allerdings noch, weshalb das ganze so umständlich wird? Wenn du dich per SSH oder VNC direkt mit einer VM verbindest, hast du dort auch die dort hinterlegten Zugriffsrechte. Die Rollenverteilung beim VMserver bezieht sich daher in meinen Augen nur auf den Zugang zur oder über die Verwaltungsoberfläche. Allerdings könnte das bei Linux auch wieder mal eine Extra-Geschichte sein...