# Linux Benutzerdatenbank mit Active Directory über LDAP

## andbaum

Hallo zusammen!

Ich habe folgendes Problem:

In einem Netzwerk (mit Active Directory) soll ein squid Proxy (unter debian sarge) laufen. Die Benutzerdatenbank des Proxys soll dabei über LDAP um die Benutzer des AD erweitert werden (nsswitch.conf)

libnss-ldap und pam-ldap sind installiert und imho richtig konfiguriert.

jetzt das kuriose:

```
# getent passwd
```

liefert lediglich die Benutzer aus /etc/passwd.

bei einem

```
# strace -v getent passwd
```

sehe ich aber, dass er alle Benutzer aus dem AD richtig ausliest:

```

[...]

read(4, "\2d\204\0\0\0m\4#CN=benutzer1,CN=Users,DC="..., 116) = 116

time([1141871063]) = 1141871063

select(1024, [4], [], NULL, NULL) = 1 (in [4])

read(4, "0\204\0\0\0z\2\1", Cool = 8

read(4, "\2d\204\0\0\0q\4\'CN=benutzer2,CN=Users"..., 120) = 120

time([1141871063]) = 1141871063

select(1024, [4], [], NULL, NULL) = 1 (in [4])

read(4, "0\204\0\0\0~\2\1", Cool = 8

read(4, "\2d\204\0\0\0u\4+CN=benutzer3,CN=U"..., 124) = 124

time([1141871063]) = 1141871063

[...]

```

(Die Namen hab ich jeweils in Benutzerx umbenannt)

Hat jemand eine Ahnung, warum da kein write auftaucht, wie es sein sollte?

Die lokalen Benutzer werden ja auch auf stdout geschrieben:

```

[...]

write(1, "root:x:0:0:root:/root:/bin/bash\n", 32) = 32

write(1, "daemon:x:1:1:daemon:/usr/sbin:/b"..., 3Cool = 38

write(1, "bin:x:2:2:bin:/bin:/bin/sh\n", 27) = 27

write(1, "sys:x:3:3:sys:/dev:/bin/sh\n", 27) = 27

[...]

```

Danke für die Hilfe,

AndreasLast edited by andbaum on Thu Mar 09, 2006 2:31 pm; edited 1 time in total

----------

## andbaum

zusätzliche info:

ich habe nscd schon deinstalliert

wenn ich mich am linux rechner mit einem AD account anmelden will, vermerkt auth.log

```
sshd[7249]: nss_ldap: could not search LDAP server - Bad search filter
```

hilft das weiter?Last edited by andbaum on Thu Mar 09, 2006 2:31 pm; edited 1 time in total

----------

## andbaum

noch mehr infos:

```

# egrep -v '^(#|$)' /etc/libnss-ldap.conf

@(#)$Id: ldap.conf,v 2.41 2005/03/23 08:30:16 lukeh Exp $

host ipadress

base dc=mydomain,dc=de

ldap_version 3

binddn CN=myuser,CN=Users,DC=mydomain,DC=de

bindpw mypasswd

port 389

scope one

nss_base_passwd CN=Users,DC=mydomain,DC=de

nss_base_shadow CN=Users,DC=mydomain,DC=de

nss_base_group CN=Group,DC=mydomain,DC=de

nss_map_objectclass posixAccount user

nss_map_objectclass shadowAccount user

nss_map_attribute uid sAMAccountName #msSFUName

nss_map_attribute homeDirectory msSFUHomeDirectory

nss_map_objectclass posixGroup Group

nss_map_attribute cn sAMAccountName #msSFUName

nss_map_attribute uniqueMember member

pam_filter objectclass=user

pam_login_attribute sAMAccountName

pam_password ad

```

```
# egrep -v '^(#|$)' /etc/ldap/ldap.conf

BASE dc=mydomain,dc=de

URI ldap://host.mydomain.de

```

PS: ich habe ipadress, mydomain, myuser, mypasswd (alle werte i. o.) geändert. der ldap host steht in /etc/hostsLast edited by andbaum on Thu Mar 09, 2006 2:30 pm; edited 1 time in total

----------

## STiGMaTa_ch

Zwei Fragen seien mir erlaubt:

1.) Hast du schon mal unsere Forenregeln gelesen? Wenn ja, warum missachtest du dann konsequent Punkt 13  :Very Happy: 

2.) Hast du das Problem auf einem Debian oder einem Gentoo System?

Lieber Gruss

STiGMaTa

----------

## andbaum

 *STiGMaTa_ch wrote:*   

> Zwei Fragen seien mir erlaubt:
> 
> 1.) Hast du schon mal unsere Forenregeln gelesen? Wenn ja, warum missachtest du dann konsequent Punkt 13 

 

ok, habs geändert....  :Embarassed: 

 *STiGMaTa_ch wrote:*   

> 2.) Hast du das Problem auf einem Debian oder einem Gentoo System?

 

ich hab ein debian system. vielleicht findet sich in diesem forum aber ja trotzdem jemand, der mir helfen kann.

----------

## andbaum

sorry, aber ich habe schon einen cross-post im englischen forum gemacht. hier ist der link: https://forums.gentoo.org/viewtopic-p-3168241.html

----------

## STiGMaTa_ch

Und warum missachtest du jetzt Regel 18?   :Twisted Evil: 

STiGMaTa

----------

## andbaum

tut mir ja sehr leid. ich hab gepostet, bevor ich die regeln gelesen habe. 

hast du eigentlich zu meiner fragestellung auch was beizutragen?

----------

## amne

Nichts gegen Debian, aber hier ist der Thread einfach wirklich am falschen Ort.

Auch Debian hat Foren, Mailing-Lists, etc - Am Chemnitzer Linuxtag hab ich z.B. am Debianstand mit den Leuten von http://debianforum.de geredet - dort ist der Thread sicher besser aufgehoben.

----------

