Re: Benutzer-Authentifizierung über LDAP
Markus Hubig <lord.aragon@gmx.net> writes:
[...]
> 1. Ist es besser den password LDAP-Eintrag in /etc/pam.d/login und
> /etc/pam.d/passwd mit "sufficient" oder mit "required" zu machen ??
> Wie habt ihr das?
Ich empfehle sufficient. Bei required müssen alle angegebenen Module
zustimmen, bei pam_unix und pam_ldap nicht so sinnvoll. Und nimm
pam_unix vor pam_ldap, sonst könnte es Probleme z.B. mit dem
Samba-Root Account geben (für Samba/LDAP muß ein User im LDAP die
uidNumber 0 und die uid root haben).
übrigens hatte Redhat 7.2 bei der Auswahl von LDAP großen Schwachsinn
in /etc/pam.d/system-auth reingeschrieben, ohne laufenden LDAP-Server
war kein Login mehr möglich (und da der LDAP-Server nicht automatisch
gestartet wurde, ging es nicht mehr ohne single user mode weiter).
Aber bei Debian gibt es ja zum Glück dieses Problem nicht.
> 2. Ein Eintrag wie:
>
> | auth required pam_env.so
>
> wird Ja IMHO nur ausgewertet wenn er *for* einem evtl. vorhandenen
> "sufficient" Eintrag steht. Allerdings habe ich pam_env.so in den
> Original /etc/pam.d/*-Configs immer *nach* einem
>
> | auth required pam_unix.so
>
> Eintrag gefunden. Beeinträchtigt das jetzt die Funktion von pam_env.so?
Ein sufficient muß als letztes stehen.
> Außerdem ist mir aufgefallen, wenn ich mittels "gq" meine Login-Shell
> von bash -> csh ändere bewirkt das genau garnichts ... 8-(
>
> Welches PAM-Modul bzw. welcher PAM-Service ist den dafür zuständig?
> Session? Unterstützt pam_ldap.so den "session"-Service?
Eigentlich sollte dies über /etc/nsswitch.conf (passwd) festgelegt
werden (einfach ldap hinter dem vorherigen compat ergänzen), das
zugehörige Modul ist /usr/lib/libnss_ldap.so .
Torsten
> BTW.: Kennt jemand eine gute Docu zu den PAM-Modulen? Habe schon ein
> wenig gegoogelt, leider wahren die Ergebnisse recht
> bruchstückhaft.
Schon http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html
gelesen? Insbesondere Abschnitt 4.1.
Reply to: