<HTML>
<HEAD>
<TITLE>Re: [389-users] PAM PTA partially working</TITLE>
</HEAD>
<BODY>
<FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Rich,<BR>
<BR>
Andrey&#8217;s suggestion worked. Yes, I have enabled SSL in the Admin server and Directory Server. But it still would fall back on 389-ds password, when &#8220;pamsecure=TRUE&#8217;. If I set pamsecure=FALSE, the authentication passed through to the AD as intended.<BR>
<BR>
How do I secure the communication between 389-ds and LDAP server? I used wireshark to capture packets, and it&#8217;s all clear.<BR>
<BR>
<BR>
<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><BR>
To revisit, here's the observation: pamsecure when set to TRUE authenticates<BR>
users only to the password in 389-ds, but when set to FALSE will<BR>
authenticate to the AD password only if the uid exists in /etc/passwd.<BR>
</SPAN></FONT><FONT SIZE="2"><FONT FACE="Consolas, Courier New, Courier"><SPAN STYLE='font-size:10pt'> &nbsp;<BR>
</SPAN></FONT></FONT></BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>That's really bizarre - the only place where pamSecure is used is here:<BR>
&nbsp;&nbsp;&nbsp;if (cfg-&gt;pamptconfig_secure) { /* is a secure connection required? */<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;int is_ssl = 0;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;slapi_pblock_get(pb, SLAPI_CONN_IS_SSL_SESSION, &amp;is_ssl);<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if (!is_ssl) {<BR>
</SPAN></FONT><FONT SIZE="2"><FONT FACE="Consolas, Courier New, Courier"><SPAN STYLE='font-size:10pt'> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;slapi_log_error( SLAPI_LOG_PLUGIN, PAM_PASSTHRU_PLUGIN_SUBSYSTEM, &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&quot;&lt;= connection not secure (secure connection required; check config)&quot;); <BR>
</SPAN></FONT></FONT><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return retcode;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}<BR>
&nbsp;&nbsp;&nbsp;}<BR>
</SPAN></FONT><FONT SIZE="2"><FONT FACE="Consolas, Courier New, Courier"><SPAN STYLE='font-size:10pt'>That is, if pamSecure is true, requests will be rejected unless using TLS/SSL. &nbsp;Do you have your directory server configured to use TLS/SSL when using pamSecure: TRUE?</SPAN></FONT></FONT>
</BODY>
</HTML>