[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Autenticação LDAP



Oi Anderson,

> Alguém aqui está utilizando uma base ldap para autenticar
> os usuarios?

yep... ;-)

> Pois estou tendo alguns problemas com os usuarios que logan
> localmente...

Para logar localmente, certifique que o /etc/pam.d/login esteja
configurado para consultar o módulo PAM LDAP. As seguintes
entradas devem existir em algum lugar do seu arquivo (sempre
antes das entradas da pam_unix.so correspondentes):

auth       sufficient pam_ldap.so
...
account    sufficient pam_ldap.so
...
session    optional   pam_mkhomedir.so skel=/etc/skel umask=0022
session    sufficient pam_ldap.so
...
password   sufficient pam_ldap.so

> ...ou via SSH...

Para acesso SSH é quase a mesma coisa, mudando apenas o nome do
arquivo onde as alterações precisam ser feitas (/etc/pam.d/ssh).
Isso vale também para qualquer outro serviço do sistema que
tenha a opção de usar um módulo PAM, como os {k,g,x}dm, su e
o escambau... ;-)

Porém (sempre tem um porém...), no caso do SSH[1], se você quiser
permitir a criação automática do $home de cada usuário, é preciso
fazer com que o servidor de SSH não utilize a dita 'separação de
privilégios' (no /etc/ssh/sshd_config):

UsePrivilegeSeparation no

O galho é que isso introduz um problema de segurança, já que
isso torna o sistema mais inseguro[2].

> ...com o samba a autenticação ldap está uma beleza, e uso o
> smbldap-tools para criar,deletar e modificar usuarios e grupos
> além do daveldap, mas os usuarios criados tanto manualmente
> quanto via smbldap-tools não conseguem logar na maquina, se
> alguém tiver alguma dica será bem vinda =].

Cara, ótima dica esse daveldap[3], gostei mesmo... :-)

Fiz um teste aqui, criando um usuário por ele, e logou
certinho. Então o problema deve ser na configuração dos
módulos PAM mesmo...

[1] Se alguém encontrar alguma outra forma para solucionar
este problema, não esqueça de me avisar... ;-)

[2] Para quem não lembra, o OpenBSD mudou seu 'slogan'
justamente por uma vulnerabilidade que explorava esse
recurso.

[3] http://davedap.sourceforge.net/

T+

-- 

Dorneles Treméa
Caxias do Sul - RS - Brasil
+55 54 9114 9312 - UIN: 2413568
X3ng Web Technology <http://www.x3ng.com.br>

-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/IT d- s:->: a24 C+++ UBL++++$ P--- L++ E-- W+++
N++ o? K? w+ O M+ V-- PS+ PE- Y-- PGP++ t+ 5 X++ R+
tv+ b(++) DI+ D++ G+>+++ e++>++++ h---- r+++ y+++**
------END GEEK CODE BLOCK------

Attachment: pgpI5Cpepf25S.pgp
Description: PGP signature


Reply to: