
The reason I asked was that in RedHat-land, they have the idea of this system-config-authentication that automagically sets the various parameters you need.<br><br>I know that both /etc/ldap.conf and /etc/openldap/ldap.conf are affected, and both of mine read a little differently:<br>

<br>/etc/ldap.conf<br><br>base dc=foo,dc=com<br>timelimit 120<br>bind_timelimit 120<br>idle_timelimit 3600<br>nss_initgroups_ignoreusers \<br>root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman<br>uri ldap://<a href="http://ldap.foo.com/">ldap.foo.com/</a><br>

tls_cacertdir /etc/openldap/cacerts<br>pam_password md5<br><br><br>/etc/openldap/ldap.conf<br><br>URI ldap://<a href="http://ldap.foo.com/">ldap.foo.com/</a><br>BASE dc=foo,dc=com<br>TLS_CACERTDIR /etc/openldap/cacerts<br>

<br><br>Other files apparently affected: (only pertinent lines pasted here)<br><br>/etc/nsswitch.conf<br><br>passwd:     files ldap<br>shadow:     files ldap<br>group:      files ldap<br>netgroup:   files ldap<br>automount:  files ldap<br>

<br><br>/etc/pam.d/system-auth<br><br>auth        sufficient    pam_ldap.so use_first_pass<br>account     [default=bad success=ok user_unknown=ignore] pam_ldap.so<br>password    sufficient    pam_ldap.so use_authtok<br>session     optional      pam_ldap.so<br>

<br>If system-config-authentication does any extra mojo not listed here, I am unaware of it.  <br><br>Gentoo&#39;s docs seem to be pretty straightorward on it as well.  Since you emerged the ldap packages in, I won&#39;t bore you with the standard &quot;did you install &lt;blah&gt;&quot; questions.<br>

<br>I have heard tale of some boxes needing windows-style reboots to get going, but I have not experienced that in Redhat/CentOS.<br><br>Any other LDAP-ers see anything out of the ordinary here?<br><br>--j<br><br><br><br>

<br><div class="gmail_quote">On Wed, Jun 3, 2009 at 3:56 PM, Jeff Hubbs <span dir="ltr">&lt;<a href="mailto:jeffrey.hubbs@gmail.com">jeffrey.hubbs@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Never mind; that wasn&#39;t the problem...<div><div></div><div class="h5"><br><br><div class="gmail_quote">On Wed, Jun 3, 2009 at 3:32 PM, Jeff Hubbs <span dir="ltr">&lt;<a href="mailto:jeffrey.hubbs@gmail.com" target="_blank">jeffrey.hubbs@gmail.com</a>&gt;</span> wrote:<br>


<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">It&#39;s Gentoo, but I think I might have found a serious problem...I think the server and client ldap.conf files may be reversed; the server happens to be working because as far as server directives go, the two files say the same thing...<div>


<div></div><div><br>

<br><div class="gmail_quote">On Wed, Jun 3, 2009 at 3:12 PM, Jerald Sheets <span dir="ltr">&lt;<a href="mailto:questy@gmail.com" target="_blank">questy@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">


Redhat/Debian/Ubuntu/Slack?  Which?<div><div></div><div><br><br><div class="gmail_quote">On Wed, Jun 3, 2009 at 2:33 PM, Jeff Hubbs <span dir="ltr">&lt;<a href="mailto:jeffrey.hubbs@gmail.com" target="_blank">jeffrey.hubbs@gmail.com</a>&gt;</span> wrote:<br>


<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Just like that.<div><div></div><div><br><br><div class="gmail_quote">On Wed, Jun 3, 2009 at 2:20 PM, Jerald Sheets <span dir="ltr">&lt;<a href="mailto:questy@gmail.com" target="_blank">questy@gmail.com</a>&gt;</span> wrote:<br>


<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

What does your /etc/nsswitch.conf look like for passwd/shadow/group?<br><br>passwd:     files ldap<br>shadow:     files ldap<br>group:      files ldap<br><br><br>--j<div><div></div><div><br><br><div class="gmail_quote">

On Wed, Jun 3, 2009 at 1:45 PM, Jeff Hubbs <span dir="ltr">&lt;<a href="mailto:jeffrey.hubbs@gmail.com" target="_blank">jeffrey.hubbs@gmail.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">That makes it worse.  See log output with it both ways at <a href="http://pastebin.com/m5fca56" target="_blank">http://pastebin.com/m5fca56</a>.<br>


<br>With the pam_ldap line where it was, I&#39;m at least able to get &quot;(Invalid credentials)&quot; returned from pam_ldap;when moved up above the pam_unix line, pam_ldap never makes a response.<br>

<br><br><br><a href="http://pastebin.com/m5fca56" target="_blank">http://pastebin.com/m5fca56</a><div><div></div><div><br><br><div class="gmail_quote">On Wed, Jun 3, 2009 at 12:50 PM, Jim Kinney <span dir="ltr">&lt;<a href="mailto:jim.kinney@gmail.com" target="_blank">jim.kinney@gmail.com</a>&gt;</span> wrote:<br>


<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">move the pam_ladp line up one. The line above it will always capture<br>

an event and the ldap line is never called. pam is a sequential<br>

process down the chain.<br>

<br>

In fact, if you want to tighten the security, put the pam_deny line<br>

before any &quot;sufficient&quot; lines in auth.<br>

<div><div></div><div><br>

On Wed, Jun 3, 2009 at 12:36 PM, Jeff Hubbs&lt;<a href="mailto:jeffrey.hubbs@gmail.com" target="_blank">jeffrey.hubbs@gmail.com</a>&gt; wrote:<br>

&gt; Jerald -<br>

&gt;<br>

&gt; That line is in there...in fact, let me paste the whole system-auth file:<br>

&gt;<br>

&gt; #%PAM-1.0<br>

&gt;<br>

&gt; auth            required        pam_env.so<br>

&gt; auth            sufficient      pam_unix.so try_first_pass likeauth nullok<br>

&gt; auth            sufficient      pam_ldap.so use_first_pass<br>

&gt; auth            required        pam_deny.so<br>

&gt;<br>

&gt; account         required        pam_unix.so<br>

&gt; account         sufficient      pam_ldap.so<br>

&gt;<br>

&gt; password        required        pam_cracklib.so difok=2 minlen=8 dcredit=2<br>

&gt; ocredit=2 try_first_pass retry=3<br>

&gt; password        sufficient      pam_unix.so try_first_pass nullok md5 shadow<br>

&gt; use_authtok<br>

&gt; password        sufficient      pam_ldap.so use_authtok<br>

&gt; password        required        pam_deny.so<br>

&gt;<br>

&gt; session         required        pam_limits.so<br>

&gt; session         required        pam_unix.so<br>

&gt; session         optional        pam_ldap.so<br>

&gt;<br>

&gt;<br>

&gt;&gt;<br>

&gt;&gt;<br>

&gt;&gt; Also, to let pam know about ldap, look for a line like so:<br>

&gt;&gt;<br>

&gt;&gt; auth        sufficient    pam_ldap.so use_first_pass<br>

&gt;&gt;<br>

&gt;&gt; in /etc/pam.d/system-auth<br>

&gt;&gt;<br>

&gt;&gt; Also, if you want to have home directories automagically made for<br>

&gt;&gt; first-time logins, you need:<br>

&gt;&gt;<br>

&gt;&gt; session     required      pam_mkhomedir.so<br>

&gt;<br>

&gt; Cool trick - dunno if I&#39;ll use that now but it&#39;s good to know.<br>

&gt;<br>

&gt; Thanks,<br>

&gt; Jeff<br>

&gt;<br>

</div></div>&gt; _______________________________________________<br>

&gt; Ale mailing list<br>

&gt; <a href="mailto:Ale@ale.org" target="_blank">Ale@ale.org</a><br>

&gt; <a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>

&gt;<br>

&gt;<br>

<br>

<br>

<br>

--<br>

<font color="#888888">--<br>

James P. Kinney III<br>

Actively in pursuit of Life, Liberty and Happiness<br>

<br>

_______________________________________________<br>

Ale mailing list<br>

<a href="mailto:Ale@ale.org" target="_blank">Ale@ale.org</a><br>

<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>

</font></blockquote></div><br>

</div></div><br>_______________________________________________<br>

Ale mailing list<br>

<a href="mailto:Ale@ale.org" target="_blank">Ale@ale.org</a><br>

<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>

<br></blockquote></div><br><br clear="all"><br>-- <br></div></div>---<br>Jerald M. Sheets jr.<br><br>

<br>_______________________________________________<br>

Ale mailing list<br>

<a href="mailto:Ale@ale.org" target="_blank">Ale@ale.org</a><br>

<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>

<br></blockquote></div><br>

</div></div><br>_______________________________________________<br>

Ale mailing list<br>

<a href="mailto:Ale@ale.org" target="_blank">Ale@ale.org</a><br>

<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>

<br></blockquote></div><br><br clear="all"><br>-- <br>---<br>Jerald M. Sheets jr.<br><br>

</div></div><br>_______________________________________________<br>

Ale mailing list<br>

<a href="mailto:Ale@ale.org" target="_blank">Ale@ale.org</a><br>

<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>

<br></blockquote></div><br>

</div></div></blockquote></div><br>

</div></div><br>_______________________________________________<br>

Ale mailing list<br>

<a href="mailto:Ale@ale.org">Ale@ale.org</a><br>

<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>

<br></blockquote></div><br><br clear="all"><br>-- <br>---<br>Jerald M. Sheets jr.<br><br>