On Wed, 04 Sep 2002, Torsten Hilbrich wrote: > Markus Hubig <lord.aragon@gmx.net> writes: > >> 1. Ist es besser den password LDAP-Eintrag in /etc/pam.d/login und >> /etc/pam.d/passwd mit "sufficient" oder mit "required" zu machen ?? >> Wie habt ihr das? > > Ich empfehle sufficient. Bei required müssen alle angegebenen Module > zustimmen, bei pam_unix und pam_ldap nicht so sinnvoll. Kommt darauf an. Wenn man gerne hätte dass /etc/shadow und LDAP synchron sind, dann macht das schon Sinn. Allerdings gibt das ein ziemliches Kuttel-Muddel bei der Passworteingabe ... Da muss man sich wohl etwas anderes einfallen lassen um /etc/passwd zu synchronisieren. > Und nimm pam_unix vor pam_ldap, sonst könnte es Probleme z.B. mit > dem Samba-Root Account geben (für Samba/LDAP muß ein User im LDAP > die uidNumber 0 und die uid root haben). Das verstehe ich nicht? Wenn ich pam_unix ("required") vor pam_ldap ("sufficient") nehme, dann habe ich ein ähnliches Kuttel-Muddel wie mit 2x required! Und root ist bei mir auch im LDAP. > übrigens hatte Redhat 7.2 bei der Auswahl von LDAP großen Schwachsinn > in /etc/pam.d/system-auth reingeschrieben, ohne laufenden LDAP-Server > war kein Login mehr möglich (und da der LDAP-Server nicht automatisch > gestartet wurde, ging es nicht mehr ohne single user mode weiter). > Aber bei Debian gibt es ja zum Glück dieses Problem nicht. Bei mir steht überall pam_ldap mit sufficient vor pam_unix mit required. Wenn ich den LDAP-Server abschalte gibt dass aber _keine_ Probleme, pam_ldap wird dann einfach übersprungen und stattdessen pam_unix genutzt. >> 2. Ein Eintrag wie: >> >> | auth required pam_env.so >> >> wird Ja IMHO nur ausgewertet wenn er *for* einem evtl. vorhandenen >> "sufficient" Eintrag steht. Allerdings habe ich pam_env.so in den >> Original /etc/pam.d/*-Configs immer *nach* einem >> >> | auth required pam_unix.so >> >> Eintrag gefunden. Beeinträchtigt das jetzt die Funktion von pam_env.so? > > Ein sufficient muß als letztes stehen. Scheinbar nicht. Siehe oben. >> Außerdem ist mir aufgefallen, wenn ich mittels "gq" meine Login-Shell >> von bash -> csh ändere bewirkt das genau garnichts ... 8-( >> >> Welches PAM-Modul bzw. welcher PAM-Service ist den dafür zuständig? >> Session? Unterstützt pam_ldap.so den "session"-Service? > > Eigentlich sollte dies über /etc/nsswitch.conf (passwd) festgelegt > werden (einfach ldap hinter dem vorherigen compat ergänzen), das > zugehörige Modul ist /usr/lib/libnss_ldap.so . Hmm, weder | passwd: compat ldap | group: compat ldap noch | passwd: ldap compat | group: ldap compat bewirken da etwas ... *grübel* Interessant ist, das mir chsh als default-Shell-Vorschlag immer die Shell präsentiert welche im LDAP eingetragen ist. Benutzt (login auf der Console und über ssh) wird aber was in /etc/passwd steht!? Wer startet den nach dem Login die Shell? Vielleicht kann ich ja da ansetzen ... >> BTW.: Kennt jemand eine gute Docu zu den PAM-Modulen? Habe schon ein >> wenig gegoogelt, leider wahren die Ergebnisse recht >> bruchstückhaft. > > Schon http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html > gelesen? Insbesondere Abschnitt 4.1. Jetzt ja! ;-) Gruß, Markus -- Always remember you're unique, just like everyone else.
Attachment:
pgphW88eA525M.pgp
Description: PGP signature