> > >> Wie sieht deine Konfiguration aus (nsswitch.conf, pam.d/common-*)? > > > > > > hier meine nsswitch.conf: > > > passwd: compat > > > passwd_compat: ldap > > > group: files ldap > > > > hier habe ich bei der etch Minimal- Installation: > > passwd: compat ldap [UNAVAIL=return] > > group: compat ldap [UNAVAIL=return] > > > > und auf dem Laptop: > > passwd: files ldap [UNAVAIL=return] > > group: files ldap [UNAVAIL=return] > > > > (wobei das compat bei der Installation eingetragen wurde, ich es aber > > eigentlich nicht benötige) > > Der Rest ist default. > > > > > hier meine common-*: > > > account [success=1 default=ignore] pam_unix.so > > > account required pam_ldap.so > > > account required pam_permit.so > > > > Das ist hier auch so. > > > > > auth [success=1 default=ignore] pam_unix.so nullok_secure > > > auth required pam_ldap.so use_first_pass > > > auth required pam_permit.so > > Wenn du pam_ldap "required"st, muss das Modul _immer_ Erfolg liefern > damit sich auch ein lokaler Nutzer anmelden kann. Beim Abtrennen des > Netzwerkkabels wird dies schwierig, außer du nutzt gezielt libpam-ldap > Konfigurationsoptionen um dies zu erzwingen. > Ich würde allerdings eher Sufficient für ldap benutzen. > > required - failure of such a PAM will ultimately lead to the PAM-API > returning failure but only after the remaining stacked modules (for > this service and type) have been invoked; > > sufficient - success of such a module is enough to satisfy the > authentication requirements of the stack of modules (if a prior > required module has failed the success of this one is ignored); Dafür ist doch die Option [success=1 default=ignore]. Das bedeutet doch, bei Erfolg wird der nächste Eintrag übersprungen, was ja pam_ldap.so ist. Gruss, Klemens -- Klemens Kittan Systemadministrator Uni-Potsdam, Inst. f. Informatik August-Bebel-Str. 89 14482 Potsdam Tel. : +49-331-977/3125 Fax. : +49-331-977/3122 eMail : kittan@cs.uni-potsdam.de gpg --recv-keys --keyserver wwwkeys.de.pgp.net 6EA09333
Attachment:
pgpOzFSmbYynL.pgp
Description: PGP signature