Re: etch - ldap
Am Mittwoch, 2. Mai 2007 schrieb Michelino Caroselli:
> Klemens Kittan wrote:
> >> Wie sieht deine Konfiguration aus (nsswitch.conf, pam.d/common-*)?
> >
> > hier meine nsswitch.conf:
> > passwd: compat
> > passwd_compat: ldap
> > group: files ldap
>
> hier habe ich bei der etch Minimal- Installation:
> passwd: compat ldap [UNAVAIL=return]
> group: compat ldap [UNAVAIL=return]
>
> und auf dem Laptop:
> passwd: files ldap [UNAVAIL=return]
> group: files ldap [UNAVAIL=return]
>
> (wobei das compat bei der Installation eingetragen wurde, ich es aber
> eigentlich nicht benötige)
> Der Rest ist default.
>
> > hier meine common-*:
> > account [success=1 default=ignore] pam_unix.so
> > account required pam_ldap.so
> > account required pam_permit.so
>
> Das ist hier auch so.
>
> > auth [success=1 default=ignore] pam_unix.so nullok_secure
> > auth required pam_ldap.so use_first_pass
> > auth required pam_permit.so
Wenn du pam_ldap "required"st, muss das Modul _immer_ Erfolg liefern
damit sich auch ein lokaler Nutzer anmelden kann. Beim Abtrennen des
Netzwerkkabels wird dies schwierig, außer du nutzt gezielt libpam-ldap
Konfigurationsoptionen um dies zu erzwingen.
Ich würde allerdings eher Sufficient für ldap benutzen.
required - failure of such a PAM will ultimately lead to the PAM-API
returning failure but only after the remaining stacked modules (for
this service and type) have been invoked;
sufficient - success of such a module is enough to satisfy the
authentication requirements of the stack of modules (if a prior
required module has failed the success of this one is ignored);
--
Markus Schulz
"In diesen heil'gen Mauern soll kein Windows lauern..."
[Jochen Lippert in d.a.s.r]
Reply to: