Re: авторизация pam_ldap

[Alexander Gerasiov <gq@cs.msu.su>]

vash wrote:
> Доброго времени суток уважаемые!
> вопросик - кому удалось настроить авторизацию ldap через pam (без так называемого
> прокси-пользователя для libnss-ldap) - можно пример рабочих конфигов?
> 

for i in /etc/ldap/ldap.conf /etc/ldap/slapd.conf /etc/default/slapd
/etc/nsswitch.conf /etc/libnss-ldap.conf /etc/pam.d/common-*; do echo
"";echo "#>>>>>$i";cat "$i"|grep -v "^#\|^$";done

#>>>>>/etc/ldap/ldap.conf
BASE    dc=eol,dc=lvk,dc=cs,dc=msu,dc=su
URI     ldap://127.0.0.1
TIMELIMIT       15

#>>>>>/etc/ldap/slapd.conf
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
schemacheck     on
pidfile         /var/run/slapd/slapd.pid
argsfile        /var/run/slapd.args
loglevel        0
modulepath      /usr/lib/ldap
moduleload      back_bdb
backend         bdb
database        bdb
suffix          "dc=eol,dc=lvk,dc=cs,dc=msu,dc=su"
directory       "/var/lib/ldap"
index           objectClass eq
index           uid eq
lastmod         on
access to attrs=userPassword
        by dn="cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su" write
        by anonymous auth
        by self write
        by * none

access to *
	by dn="cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su" write
	by * read

#>>>>>/etc/default/slapd
SLAPD_CONF=
SLAPD_USER=
SLAPD_GROUP=
SLAPD_PIDFILE=
SLURPD_START=auto
TRY_BDB_RECOVERY=yes
SLAPD_SERVICES="ldap://127.0.0.1:389/";
SLAPD_OPTIONS=""
SLURPD_OPTIONS=""

#>>>>>/etc/nsswitch.conf
passwd:         files ldap
group:          files ldap
shadow:         files ldap
hosts:          files dns
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis

#>>>>>/etc/libnss-ldap.conf
host 127.0.0.1
base dc=eol,dc=lvk,dc=cs,dc=msu,dc=su
uri ldap://127.0.0.1/
ldap_version 3
timelimit 30
bind_timelimit 30
pam_password exop

#>>>>>/etc/pam.d/common-account
account sufficient pam_ldap.so
account required pam_unix.so nullok_secure
account required pam_permit.so

#>>>>>/etc/pam.d/common-auth
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass
auth required pam_permit.so

#>>>>>/etc/pam.d/common-password
password  required      pam_cracklib.so retry=3 minlen=6 difok=3
password  sufficient    pam_ldap.so use_authtok
password  required      pam_unix.so md5 nullok use_authtok
password  required      pam_permit.so

#>>>>>/etc/pam.d/common-session
session required        pam_unix.so




Начальная схема, которую добавил slapadd'ом

# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# eol.lvk.cs.msu.su
dn: dc=eol,dc=lvk,dc=cs,dc=msu,dc=su
objectClass: top
objectClass: dcObject
objectClass: organization
o: eol.lvk.cs.msu.su
dc: eol

# admin, eol.lvk.cs.msu.su
dn: cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: some_secret :P

# People, eol.lvk.cs.msu.su
dn: ou=People,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su
objectClass: organizationalUnit
ou: People

# Group, eol.lvk.cs.msu.su
dn: ou=Group,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su
objectClass: top
objectClass: organizationalUnit
ou: Group


Все файлы из 1й команды должны быть дотупны на чтение всем!

После того, как это все заработает, рекомендуется прикрутить-таки nscd
(его вообще никак не конфигурил, все по-умолчанию.)