[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

LDAP e Configurazione PAM di sarge...

Sarge è piovuta stable nell'esatto momento in cui mi serviva. Ottimo.
;)

Sto sistemando un bel server PDC samba con backend ldap, e ovviamente
sono arivato alla configurazione di libpam-ldap.

Solitamente uso la ``configurazione'':

	account sufficient      pam_ldap.so
	account required        pam_unix.so

(ad esempio per account), ma questa ha il problema solito di usare
sufficient: se pam_ldap.so fa match, tutte le successive istanze di
account non vengono ignorate.

Solitamente (in woody) spostavo queste istanze di modo che fosserlo le
ultime della catena (anche questo formalmente non corretto...), ma con
sarge se lo faccio risulta che ho toccato i file in pam.d, e non solo i
common-*.

Ho però visto:

	/usr/share/doc/libpam-ldap/README.Debian

e la prima parte mi è parsa chiarissima, per auth, e infatti l'ho
implementata. La seconda parte, specificatamente:

  - If you want to use the "pam_check_host_attr" feature, make sure
  "pam_unix.so" doesn't provide a valid "account" via the Name Service
  Switch (NSS), which overrides your LDAP configuration. Don't use "ldap"
  for "shadow" in /etc/nsswitch.conf, just use "shadow: files". For PAM,
  use something like the following:
        # Try local /etc/shadow first and skip LDAP on success
        account [success=1 default=ignore] pam_unix.so
        account required pam_ldap.so
        account required pam_permit.so

invece nno mi è affatto chiara, e l'unico riferimento a
pam_check_host_attr che ho trovato è su /etc/pam_ldap.conf:

  # Check the 'host' attribute for access control
  # Default is no; if set to yes, and user has no
  # value for the host attribute, and pam_ldap is
  # configured for account management (authorization)
  # then the user will not be allowed to login.
  #pam_check_host_attr yes

ma non colgo il nesso con tutto il resto, ne sil perchè non si debba
usare shadow in nssswitch.conf: in generale non si capisce se siano
cose incorrelate o uno stesso warning.


Ad ogni modo ho utilizzato lo schema:

	account [success=1 default=ignore] pam_unix.so
        account required pam_ldap.so
        account required pam_permit.so

anche per auth, session and password, mi piacerebbe sapere che cosa
avete fatto voi.

Grazie.


PS: si ho cercato anche in rete, ma non ho trovato nulla. Esiste anche:

	http://wiki.debian.net/?LDAPAuthentication

ma utilizza ancora il sistema del sufficient che è subottimale.

-- 
  L'entropia dei soldi aumenta sempre.
							(prof. Taffara)
Reply to: