Utilisation des services de noms et d'annuaire Oracle® Solaris 11.2 : LDAP

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Echec de connexion

Les clients LDAP utilisent les modules PAM pour l'authentification utilisateur lors de la connexion. Lors de l'utilisation du module PAM UNIX standard, le mot de passe est lu à partir du serveur et vérifié côté client. Ce processus peut échouer pour l'une des raisons suivantes :

  • ldap n'est pas associé à la base de données passwd dans le commutateur du service de noms.

  • L'attribut userPassword de l'utilisateur sur la liste de serveurs n'est pas lisible par l'agent proxy. Vous devez permettre au moins à l'agent proxy de lire le mot de passe car l'agent proxy le renvoie au client pour la comparaison. pam_ldap n'exige pas un droit d'accès en lecture au mot de passe.

  • L'agent proxy n'a peut-être pas le mot de passe correct.

  • L'entrée ne comporte pas la classe d'objet shadowAccount.

  • Aucun mot de passe n'est défini pour l'utilisateur.

    Lorsque vous utilisez ldapaddent, vous devez utiliser l'option –p pour vous assurer que le mot de passe est ajouté à l'entrée utilisateur. Si vous utilisez ldapaddent sans l'option –p, le mot de passe de l'utilisateur n'est pas stocké dans l'annuaire, sauf si vous ajoutez également le fichier /etc/shadow en utilisant ldapaddent.

  • Aucun serveur LDAP n'est accessible.

    Vérifiez l'état des serveurs.

    # /usr/lib/ldap/ldap_cachemgr -g

  • pam.conf n'est pas correctement configuré.

  • L'utilisateur n'est pas défini dans l'espace de noms LDAP.

  • NS_LDAP_CREDENTIAL_LEVEL est défini sur anonymous pour les modules pam_unix_* et userPassword n'est pas disponible pour les utilisateurs anonymes.

  • Le mot de passe n'est pas stocké au format crypt.

  • Si pam_ldap est configuré de façon à prendre en charge la gestion des comptes, l'échec de la connexion peut être le résultat de l'une des situations suivantes :

    • Le mot de passe de l'utilisateur a expiré.

    • Le compte de l'utilisateur est verrouillé en raison d'un trop grand nombre de tentatives de connexion ayant échoué.

    • Le compte utilisateur a été désactivé par l'administrateur.

    • L'utilisateur a tenté de se connecter à l'aide d'un programme sans mot de passe, tel que ssh ou sftp.

  • Si une authentification par utilisateur et sasl/GSSAPI sont en cours d'utilisation, certains composants de Kerberos ou la configuration pam_krb5 est incorrecte. Reportez-vous au manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 pour plus de détails sur la résolution des problèmes.

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant