Re: etch - ldap

To: debian-user-german@lists.debian.org
Subject: Re: etch - ldap
From: Klemens Kittan <kittan@cs.uni-potsdam.de>
Date: Thu, 3 May 2007 08:38:12 +0200
Message-id: <[🔎] 200705030838.16530.kittan@cs.uni-potsdam.de>
In-reply-to: <[🔎] brhmg4-5hf.ln1@news.caroselli.de>
References: <200704271011.09895.kittan@cs.uni-potsdam.de> <[🔎] 200705020958.51576.kittan@cs.uni-potsdam.de> <[🔎] brhmg4-5hf.ln1@news.caroselli.de>

Hi,
> >
> > hier meine nsswitch.conf:
> > passwd:         compat
> > passwd_compat:  ldap
> > group:          files ldap
>
> hier habe ich bei der etch Minimal- Installation:
> passwd:         compat ldap [UNAVAIL=return]
> group:          compat ldap [UNAVAIL=return]
>
> und auf dem Laptop:
> passwd:         files ldap [UNAVAIL=return]
> group:          files ldap [UNAVAIL=return]
>

Das habe ich nochmals ausprobiert, nur funktionieren damit die Netzgruppen 
nicht. Mit den Einstellungen passwd: compat und passwd_compat: ldap kann ich 
die User über Netzgruppen (ldap) einschränken.

> (wobei das compat bei der Installation eingetragen wurde, ich es aber
> eigentlich nicht benötige)
> Der Rest ist default.
>
> > hier meine common-*:
> > account [success=1 default=ignore]      pam_unix.so
> > account required                        pam_ldap.so
> > account required                        pam_permit.so
>
> Das ist hier auch so.
>
> > auth    [success=1 default=ignore]      pam_unix.so nullok_secure
> > auth    required                        pam_ldap.so use_first_pass
> > auth    required                        pam_permit.so
>
> dito.
>
> > password        [success=1 default=ignore]      pam_unix.so nullok
> > obscure min=6 max=8 md5
> > password        required                        pam_ldap.so
> > use_first_pass password        required                       
> > pam_permit.so
>
> hier unterscheidet sich die ldap Zeile:
> password	sufficient	pam_ldap.so
> und sie steht vor pam_unix.so
>

Die Datei common-password habe ich so gelassen wie ich es oben beschrieben 
habe. Die common-session habe ich, nach deinem Vorschlag abgeändert.

> > session [success=1 default=ignore]      pam_unix.so
> > session required                        pam_ldap.so
> > session required                        pam_permit.so
>
> und hier auch:
> session		sufficient	pam_ldap.so
>
> > Ich habe den Fehler lokalisieren können. Es gibt, für libnss-ldap.conf,
> > eine Option nss_initgroups_ignoreusers. Dort habe ich alle lokalen
> > Accounts eingetragen. Damit funktioniert der Login mit lokalen Accounts
> > problemlos.
>
> Diese Option ist hier nicht gesetzt, die lokalen User stehen _nur_ in
> der passwd/shadow
>

Diese Option must du zusätzlich hinzufügen. In der Hilfe habe ich diese Option 
gefunden. Was mich allerdings wundert ist, das du keine Probleme mit den 
lokalen Usern hast und ich extra diese Option benutzen muss. Wo ist der 
Unterschied zwischen unseren Installationen und Konfigurationen? Soll es nur 
an den Netzgruppen liegen?

Gruss,
Klemens

-- 
Klemens Kittan
Systemadministrator

Uni-Potsdam, Inst. f. Informatik
August-Bebel-Str. 89
14482 Potsdam

Tel.	:   +49-331-977/3125
Fax.	:   +49-331-977/3122
eMail	: kittan@cs.uni-potsdam.de

gpg --recv-keys --keyserver wwwkeys.de.pgp.net 6EA09333

Attachment: pgpVS3RwgzxA3.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: etch - ldap
  - From: Michelino Caroselli <m04news@caroselli.de>

References:
- Re: etch - ldap
  - From: Klemens Kittan <kittan@cs.uni-potsdam.de>
- Re: etch - ldap
  - From: Michelino Caroselli <m04news@caroselli.de>

Prev by Date: Re: Rufnummern mitloggen
Next by Date: Re: Mausrad geht nach Upgrade auf Etch nicht mehr
Previous by thread: Re: etch - ldap
Next by thread: Re: etch - ldap
Index(es):
- Date
- Thread