On Wed, 04 Sep 2002, Robert Rakowicz wrote: > Markus Hubig <lord.aragon@gmx.net> writes: > >> Ich habe /etc/nsswitch.conf mit der Version aus dem libnss-ldap Packet >> ersetzt. Auch habe ich alles unter /etc/pam.d/* mit den Beispielen aus >> libpam-ldap abgeglichen. > > warum willst Du /etc/pam.d/* überhaupt anpacken ?. Ich mag ganz falsch > liegen aber dirch die Änderung der nsswitch.conf hast Du alles was Du > brauchts. Ich weiß nicht was bei Dir steht aber ich habe hier u.a > > [...] > passwd: files ldap > group: files ldap > shadow: files ldap ^^^^^^ gibt's dass im LDAP ?? > [...] Ja, so sieht die nsswitch.conf bei mir auch aus. Wenn ich das richtig verstanden habe braucht man allerdings sowohl PAM-LDAP als auch NSSWITCH-LDAP um vollständig von /etc/* auf LDAP umstellen zu können. PAM-LDAP ist für die Passwort-Authentifizierung und das Passwort Management (ändern, Gültigkeit, Sicherheit des Passwortes, ..) zuständig. Beispiel: Der Login Prozess. Normalerweise wird beim login (console, gdm, kdm, ...) das eingegebene Passwort von PAM gegen die Einträge in /etc/passwd, /etc/shadow und /etc/group abgeglichen. Dafür ist das PAM-Modul pam_unix.so zuständig. Ich kann jetzt die für login zuständige PAM-Configdatei ... | /etc/pam.d/login | [...] | auth required pam_unix.so nullok | account required pam_unix.so | session required pam_unix.so | password required pam_unix.so nullok obscure min=4 max=8 md5 | [...] ... so abändern, ... | /etc/pam.d/login | [...] | auth sufficient pam_ldap.so | auth required pam_unix.so nullok | account sufficient pam_ldap.so | account required pam_unix.so | session sufficient pam_ldap.so | session required pam_unix.so | password sufficient pam_ldap.so | password required pam_unix.so nullok obscure min=4 max=8 md5 | [...] ... dass zuerst versucht wird, die Informationen von einem LDAP-Server zu bekommen und nur wenn das nicht klappt die Befragung von /etc/* vorgenommen wird. Der NSSWITCH ist IMHO dafür zuständig dass Systemaufrufe wie "gethostbyname" usw. ihre Infos (auch?) vom LDAP-Server bekommen. Also wird beides benötigt ... Gruß, Markus -- Build a system even a fool can use,and only a fool will want to use it.
Attachment:
pgpMy6gQqvqh4.pgp
Description: PGP signature