LDAP anmeldung an RHEL 6.0

[luk3]

Hallo zusammen,

nach fast 2 Tagen recherche und testen komme ich nun an mein Ende.

Ich habe folgende Umgebung:
Server - RHEL 6.0 als Applikationsserver und Fileserver
Server - Ubuntu 10.04 als OpenLDAP Server mit phpLDAP Admin
5 Clients - Ubuntu 10.04

Auf dem RHEL sind NFS Shares erstellt die mit den Clients gemounten werden. Dort liegen Benutzerprofile, Daten, Applicationen vom RHEL.
Auf dem Ubuntu LDAP Server ist ein OpenLDAP mit phpLDAP konfiguriert.
Auf den clients funktioniert die LDAP Authentifizierung ohne Probleme. Am RHLE leider nicht ganz so gut.

Auf dem RHEL wurde das OpenLDAP Packet nachinstalliert und mit "authconfig-tui" konfiguriert. Ich kann nun ein "ldapsearch -x" und ein "id xxx" absetzen um den user abzufragen, soweit OK.
Aber wenn ich nun ein "getent passwd" mache, werden mir nur die lokalen User angezeigt und nicht die aus dem AD, Anmeldung am System ist auch nicht möglich. Ich kann jedoch mit ACL berechtigungen für die User vergeben.

Heute habe ich noch einige anpassungen an den Dateien in /etc/pam.d/ vorgenommen.
- system-auth-ac (nach system-auth verlinkt)

Code:

auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
#auth        sufficient    pam_sss.so use_first_pass
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_access.so
account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
#account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
#password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_oddjob_mkhomedir.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so
#session     optional      pam_sss.so

- password-auth-ac (nach password-auth verlinkt)

Code:

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
#auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

account     required      pam_access.so
account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
#account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
#password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_oddjob_mkhomedir.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so
#session     optional      pam_sss.so

Die Anmledung über ssh funktioniert, aber am Desktop noch nicht. Es kommt die Passwort abfrage und danach will er den Desktop laden, springt dann aber wieder zur Anmeldung zurück.
Wenn ich ein "getent passwd" mache, werden mir auch nur die lokalen user angezeigt. Es sollten aber doch alle aus dem LDAP angezeigt werden, sowie beim client, oder?

Ich habe auch noch ein auszug aus der LOG von der Anmeldung (/var/log/secure)

Code:

Sep 13 12:29:30 moe-server pam: gdm-password[3526]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=  user=tuser

Sep 13 12:29:30 moe-server pam: gdm-password[3526]: pam_unix(gdm-password:session): session opened for user tuser by (uid=0)

Sep 13 12:29:31 moe-server pam: gdm-password[3526]: pam_unix(gdm-password:session): session closed for user tuser

Ich hoffe Ihr habt noch tolle Ideen oder erfahrung die mich weiterbringen könnten!

cu luk3