Sudo: ldap_sasl_bind_s(): Invalid credentials

gier_do · September 30, 2016, 7:56am

Hallo!

Ich bekomme seit einem Update vor einiger Zeit bei der Verwendung von sudo auf dem UCS die Fehlermeldung “sudo: ldap_sasl_bind_s(): Invalid credentials”. Danach kommt es zur erwarteten Passwortabfrage, die auch das gewünschte Ergebnis bringt.
Auf Domänenclients (ubuntu) funktioniert sudo ohne die genannte Fehlermeldung.

Ich würde gerne verstehen, was hier passiert, damit ich eine Verschlimmerung des Zustands vermeiden kann.

Steps to reproduce:

Per ssh als sudo-fähiger Benutzer anmelden
sudo benutzen

Gezeigtes Verhalten:

Fehlermeldung “sudo: ldap_sasl_bind_s(): Invalid credentials”
Passwortabfrage
Benutzeränderung

Erwartetes Verhalten:

Passwortabfrage
Benutzeränderung

Umgebung: UCS 4.1-3 errata282

Beispiel:

sudo.user@central:~$ sudo -s
sudo: ldap_sasl_bind_s(): Invalid credentials
[sudo] password for sudo.user: 
root@central:/home/sudo.user#

gier_do · September 30, 2016, 8:18am

Ich habe den log level von slapd hochgesetzt. Hier die Logs bei sudo mit dem invalid credentials Fehler (0x31):

Sep 30 10:09:12 central slapd[21499]: conn=1010 op=6 SEARCH RESULT tag=101 err=0 nentries=1 text=
Sep 30 10:09:13 central slapd[21499]: conn=1015 fd=24 ACCEPT from IP=192.168.2.4:57435 (IP=0.0.0.0:7389)
Sep 30 10:09:13 central slapd[21499]: conn=1015 op=0 EXT oid=1.3.6.1.4.1.1466.20037
Sep 30 10:09:13 central slapd[21499]: conn=1015 op=0 STARTTLS
Sep 30 10:09:13 central slapd[21499]: conn=1015 op=0 RESULT oid= err=0 text=
Sep 30 10:09:13 central slapd[21499]: conn=1015 fd=24 TLS established tls_ssf=256 ssf=256
Sep 30 10:09:13 central slapd[21499]: conn=1015 op=1 BIND dn="cn=central,cn=dc,cn=computers,dc=domain,dc=de" method=128
Sep 30 10:09:13 central slapd[21499]: OVER: rs->sr_err != LDAP_SUCCESS on "cn=central,cn=dc,cn=computers,dc=domain,dc=de" ERR: 0x31
Sep 30 10:09:13 central slapd[21499]: conn=1015 op=1 RESULT tag=97 err=49 text=
Sep 30 10:09:16 central slapd[21499]: conn=1016 fd=25 ACCEPT from IP=192.168.2.4:57436 (IP=0.0.0.0:7389)

central ist der domain controller, 192.168.2.4 ist seine ip.
Kann der domain controller keinen ldap bind bei sich selbst machen?

gier_do · September 30, 2016, 1:48pm

Gelöst!

Das Problem selbst erstellt.
Es lag an sudo-ldap, bzw. univention-sudo-ldap-host.

Ich habe univention-sudo-ldap-host vor einiger Zeit installiert aber nicht weiter konfiguriert.