On Wed, 04 Sep 2002, Torsten Hilbrich wrote:
> Markus Hubig <lord.aragon@gmx.net> writes:
>
>> 1. Ist es besser den password LDAP-Eintrag in /etc/pam.d/login und
>> /etc/pam.d/passwd mit "sufficient" oder mit "required" zu machen ??
>> Wie habt ihr das?
>
> Ich empfehle sufficient. Bei required müssen alle angegebenen Module
> zustimmen, bei pam_unix und pam_ldap nicht so sinnvoll.
Kommt darauf an. Wenn man gerne hätte dass /etc/shadow und LDAP
synchron sind, dann macht das schon Sinn. Allerdings gibt das ein
ziemliches Kuttel-Muddel bei der Passworteingabe ... Da muss man sich
wohl etwas anderes einfallen lassen um /etc/passwd zu synchronisieren.
> Und nimm pam_unix vor pam_ldap, sonst könnte es Probleme z.B. mit
> dem Samba-Root Account geben (für Samba/LDAP muß ein User im LDAP
> die uidNumber 0 und die uid root haben).
Das verstehe ich nicht? Wenn ich pam_unix ("required") vor pam_ldap
("sufficient") nehme, dann habe ich ein ähnliches Kuttel-Muddel wie mit
2x required! Und root ist bei mir auch im LDAP.
> übrigens hatte Redhat 7.2 bei der Auswahl von LDAP großen Schwachsinn
> in /etc/pam.d/system-auth reingeschrieben, ohne laufenden LDAP-Server
> war kein Login mehr möglich (und da der LDAP-Server nicht automatisch
> gestartet wurde, ging es nicht mehr ohne single user mode weiter).
> Aber bei Debian gibt es ja zum Glück dieses Problem nicht.
Bei mir steht überall pam_ldap mit sufficient vor pam_unix mit
required. Wenn ich den LDAP-Server abschalte gibt dass aber _keine_
Probleme, pam_ldap wird dann einfach übersprungen und stattdessen
pam_unix genutzt.
>> 2. Ein Eintrag wie:
>>
>> | auth required pam_env.so
>>
>> wird Ja IMHO nur ausgewertet wenn er *for* einem evtl. vorhandenen
>> "sufficient" Eintrag steht. Allerdings habe ich pam_env.so in den
>> Original /etc/pam.d/*-Configs immer *nach* einem
>>
>> | auth required pam_unix.so
>>
>> Eintrag gefunden. Beeinträchtigt das jetzt die Funktion von pam_env.so?
>
> Ein sufficient muß als letztes stehen.
Scheinbar nicht. Siehe oben.
>> Außerdem ist mir aufgefallen, wenn ich mittels "gq" meine Login-Shell
>> von bash -> csh ändere bewirkt das genau garnichts ... 8-(
>>
>> Welches PAM-Modul bzw. welcher PAM-Service ist den dafür zuständig?
>> Session? Unterstützt pam_ldap.so den "session"-Service?
>
> Eigentlich sollte dies über /etc/nsswitch.conf (passwd) festgelegt
> werden (einfach ldap hinter dem vorherigen compat ergänzen), das
> zugehörige Modul ist /usr/lib/libnss_ldap.so .
Hmm, weder
| passwd: compat ldap
| group: compat ldap
noch
| passwd: ldap compat
| group: ldap compat
bewirken da etwas ... *grübel*
Interessant ist, das mir chsh als default-Shell-Vorschlag immer die
Shell präsentiert welche im LDAP eingetragen ist. Benutzt (login auf
der Console und über ssh) wird aber was in /etc/passwd steht!? Wer
startet den nach dem Login die Shell? Vielleicht kann ich ja da
ansetzen ...
>> BTW.: Kennt jemand eine gute Docu zu den PAM-Modulen? Habe schon ein
>> wenig gegoogelt, leider wahren die Ergebnisse recht
>> bruchstückhaft.
>
> Schon http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html
> gelesen? Insbesondere Abschnitt 4.1.
Jetzt ja! ;-)
Gruß, Markus
--
Always remember you're unique, just like everyone else.
Attachment:
pgphW88eA525M.pgp
Description: PGP signature