[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Benutzer-Authentifizierung über LDAP

Markus Hubig <lord.aragon@gmx.net> writes:

>> Und nimm pam_unix vor pam_ldap, sonst könnte es Probleme z.B. mit
>> dem Samba-Root Account geben (für Samba/LDAP muß ein User im LDAP
>> die uidNumber 0 und die uid root haben).
>
> Das verstehe ich nicht? Wenn ich pam_unix ("required") vor pam_ldap
> ("sufficient") nehme, dann habe ich ein ähnliches Kuttel-Muddel wie mit
> 2x required! Und root ist bei mir auch im LDAP.

Samba selbst benutzt kein PAM, sondern geht direkt zum LDAP.  Obigen
Punkt mußt du auch nur beachten, falls du wirklich Samba einsetzen
willst.

>
>> übrigens hatte Redhat 7.2 bei der Auswahl von LDAP großen Schwachsinn
>> in /etc/pam.d/system-auth reingeschrieben, ohne laufenden LDAP-Server
>> war kein Login mehr möglich (und da der LDAP-Server nicht automatisch
>> gestartet wurde, ging es nicht mehr ohne single user mode weiter).
>> Aber bei Debian gibt es ja zum Glück dieses Problem nicht.
>
> Bei mir steht überall pam_ldap mit sufficient vor pam_unix mit
> required. Wenn ich den LDAP-Server abschalte gibt dass aber _keine_
> Probleme, pam_ldap wird dann einfach übersprungen und stattdessen
> pam_unix genutzt.

Bei Redhat standen pam_unix *und* pam_ldap mit required drin.  Den
Effekt bei nicht erreichbaren LDAP-Server kannst du dir sicher gut
vorstellen.

>> Ein sufficient muß als letztes stehen.
>
> Scheinbar nicht. Siehe oben.

Ein erfolgreiches sufficient in einer Kategory verhindert, daß danach
stehende required der gleichen Kategorie ausgeführt werden.

> Hmm, weder
>
> | passwd:   compat ldap
> | group:    compat ldap
>
> noch 
>
> | passwd:   ldap compat
> | group:    ldap compat
>
> bewirken da etwas ... *grübel*

Was liefert "getent passwd <username>"?

> Interessant ist, das mir chsh als default-Shell-Vorschlag immer die
> Shell präsentiert welche im LDAP eingetragen ist. Benutzt (login auf
> der Console und über ssh) wird aber was in /etc/passwd steht!? Wer
> startet den nach dem Login die Shell? Vielleicht kann ich ja da
> ansetzen ...

Leider kann ich erst wieder ab Woche 39 an meine damals vorgenommene
PAM-Konfiguration ran.  Dort wurden loginShell (in diesem Fall
/bin/false, um ein Login zu verhindern) und homeDirectory aus dem LDAP
gelesen.

Ich kann mich aber daran erinnern, die RedHat 7.2
Default-Konfiguration genommen zu haben und jedes Auftreten von
pam_unix um pam_ldap (beide natürlich sufficient statt required)
ergänzt zu haben.

        Torsten
Reply to: