Re: etch - ldap

To: debian-user-german@lists.debian.org
Subject: Re: etch - ldap
From: Klemens Kittan <kittan@cs.uni-potsdam.de>
Date: Thu, 3 May 2007 11:56:21 +0200
Message-id: <[🔎] 200705031156.24802.kittan@cs.uni-potsdam.de>
In-reply-to: <[🔎] 200705031129.47400@Mail-Followup-To>
References: <200704271011.09895.kittan@cs.uni-potsdam.de> <[🔎] brhmg4-5hf.ln1@news.caroselli.de> <[🔎] 200705031129.47400@Mail-Followup-To>

> > >> Wie sieht deine Konfiguration aus (nsswitch.conf, pam.d/common-*)?
> > >
> > > hier meine nsswitch.conf:
> > > passwd:         compat
> > > passwd_compat:  ldap
> > > group:          files ldap
> >
> > hier habe ich bei der etch Minimal- Installation:
> > passwd:         compat ldap [UNAVAIL=return]
> > group:          compat ldap [UNAVAIL=return]
> >
> > und auf dem Laptop:
> > passwd:         files ldap [UNAVAIL=return]
> > group:          files ldap [UNAVAIL=return]
> >
> > (wobei das compat bei der Installation eingetragen wurde, ich es aber
> > eigentlich nicht benötige)
> > Der Rest ist default.
> >
> > > hier meine common-*:
> > > account [success=1 default=ignore]      pam_unix.so
> > > account required                        pam_ldap.so
> > > account required                        pam_permit.so
> >
> > Das ist hier auch so.
> >
> > > auth    [success=1 default=ignore]      pam_unix.so nullok_secure
> > > auth    required                        pam_ldap.so use_first_pass
> > > auth    required                        pam_permit.so
>
> Wenn du pam_ldap "required"st, muss das Modul _immer_ Erfolg liefern
> damit sich auch ein lokaler Nutzer anmelden kann. Beim Abtrennen des
> Netzwerkkabels wird dies schwierig, außer du nutzt gezielt libpam-ldap
> Konfigurationsoptionen um dies zu erzwingen.
> Ich würde allerdings eher Sufficient für ldap benutzen.
>
> required - failure of such a PAM will ultimately lead to the PAM-API
> returning failure but only after the remaining stacked modules (for
> this service and type) have been invoked;
>
> sufficient - success of such a module is enough to satisfy  the
> authentication  requirements  of  the  stack of modules (if a prior
> required module has failed the success of this one is ignored);

Dafür ist doch die Option  [success=1 default=ignore]. Das bedeutet doch, bei 
Erfolg wird der nächste Eintrag übersprungen, was ja pam_ldap.so ist.

Gruss,
Klemens

-- 
Klemens Kittan
Systemadministrator

Uni-Potsdam, Inst. f. Informatik
August-Bebel-Str. 89
14482 Potsdam

Tel.	:   +49-331-977/3125
Fax.	:   +49-331-977/3122
eMail	: kittan@cs.uni-potsdam.de

gpg --recv-keys --keyserver wwwkeys.de.pgp.net 6EA09333

Attachment: pgpOzFSmbYynL.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: etch - ldap
  - From: Markus Schulz <msc@antzsystem.de>

References:
- Re: etch - ldap
  - From: Michelino Caroselli <m04news@caroselli.de>
- Re: etch - ldap
  - From: Markus Schulz <msc@antzsystem.de>

Prev by Date: nach upgrade /etc/lvmtab leer (was: in /boot kein Kernel nach upgrade)
Next by Date: Re: nach e2fsck, 2 GB orphaned blocks in lost+found
Previous by thread: Re: etch - ldap
Next by thread: Re: etch - ldap
Index(es):
- Date
- Thread