Re: ldap und root
Klemens Kittan schrieb:
> ich habe schon seit zwei Jahren die Userverwaltung auf LDAP umgestellt. Es
> funktioniert auch sehr gut, bis eines Tages die LDAP-Server nicht mehr
> erreichbar waren. Ich wollte mich mit dem lokalen User root einloggen und
> nachsehen was los ist. Leider konnte ich mich als root nicht einloggen.
> Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die
> PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist
> habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP.
Schau dir mal /usr/share/doc/libpam-ldap/README.Debian an, da steht:
-------
libpam-ldap for Debian
----------------------
- Be very careful when you use "sufficient pam_ldap.so" in Debian's
/etc/pam.d/common-* files: Some services can place other "required"
PAM-modules after the includes, which will be ignored if pam_ldap.so
succeeds. As a workaround, use something like the following construct:
# Check local authentication first, so root can still login
# while LDAP is down.
auth [success=1 default=ignore] pam_unix.so
auth required pam_ldap.so use_first_pass
auth required pam_permit.so
The third line is needed, so "success=1" can skip over one module and
still has a module to jump to. Without that, PAM segfaults!
- If you want to use the "pam_check_host_attr" feature, make sure
"pam_unix.so" doesn't provide a valid "account" via the Name Service
Switch (NSS), which overrides your LDAP configuration. Don't use "ldap"
for "shadow" in /etc/nsswitch.conf, just use "shadow: files". For PAM,
use something like the following:
# Try local /etc/shadow first and skip LDAP on success
account [success=1 default=ignore] pam_unix.so
account required pam_ldap.so
account required pam_permit.so
---------
Ich denke, das könnte weiterhelfen.
Grüße
Marc
Reply to: