Re: Autenticação LDAP

To: debian-user-portuguese@lists.debian.org
Subject: Re: Autenticação LDAP
From: Dorneles Treméa <dorneles@x3ng.com.br>
Date: Mon, 28 Jul 2003 17:35:21 -0300
Message-id: <[🔎] 3F258909.3050205@x3ng.com.br>
In-reply-to: <[🔎] 1059394654.3f25145e67742@webmail.mfplan.com.br>
References: <[🔎] 1059394654.3f25145e67742@webmail.mfplan.com.br>

Oi Anderson,

> Alguém aqui está utilizando uma base ldap para autenticar
> os usuarios?

yep... ;-)

> Pois estou tendo alguns problemas com os usuarios que logan
> localmente...

Para logar localmente, certifique que o /etc/pam.d/login esteja
configurado para consultar o módulo PAM LDAP. As seguintes
entradas devem existir em algum lugar do seu arquivo (sempre
antes das entradas da pam_unix.so correspondentes):

auth       sufficient pam_ldap.so
...
account    sufficient pam_ldap.so
...
session    optional   pam_mkhomedir.so skel=/etc/skel umask=0022
session    sufficient pam_ldap.so
...
password   sufficient pam_ldap.so

> ...ou via SSH...

Para acesso SSH é quase a mesma coisa, mudando apenas o nome do
arquivo onde as alterações precisam ser feitas (/etc/pam.d/ssh).
Isso vale também para qualquer outro serviço do sistema que
tenha a opção de usar um módulo PAM, como os {k,g,x}dm, su e
o escambau... ;-)

Porém (sempre tem um porém...), no caso do SSH[1], se você quiser
permitir a criação automática do $home de cada usuário, é preciso
fazer com que o servidor de SSH não utilize a dita 'separação de
privilégios' (no /etc/ssh/sshd_config):

UsePrivilegeSeparation no

O galho é que isso introduz um problema de segurança, já que
isso torna o sistema mais inseguro[2].

> ...com o samba a autenticação ldap está uma beleza, e uso o
> smbldap-tools para criar,deletar e modificar usuarios e grupos
> além do daveldap, mas os usuarios criados tanto manualmente
> quanto via smbldap-tools não conseguem logar na maquina, se
> alguém tiver alguma dica será bem vinda =].

Cara, ótima dica esse daveldap[3], gostei mesmo... :-)

Fiz um teste aqui, criando um usuário por ele, e logou
certinho. Então o problema deve ser na configuração dos
módulos PAM mesmo...

[1] Se alguém encontrar alguma outra forma para solucionar
este problema, não esqueça de me avisar... ;-)

[2] Para quem não lembra, o OpenBSD mudou seu 'slogan'
justamente por uma vulnerabilidade que explorava esse
recurso.

[3] http://davedap.sourceforge.net/

T+

-- 

Dorneles Treméa
Caxias do Sul - RS - Brasil
+55 54 9114 9312 - UIN: 2413568
X3ng Web Technology <http://www.x3ng.com.br>

-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/IT d- s:->: a24 C+++ UBL++++$ P--- L++ E-- W+++
N++ o? K? w+ O M+ V-- PS+ PE- Y-- PGP++ t+ 5 X++ R+
tv+ b(++) DI+ D++ G+>+++ e++>++++ h---- r+++ y+++**
------END GEEK CODE BLOCK------

Attachment: pgp6Qi41MrTa9.pgp
Description: PGP signature

Reply to:

References:
- Autenticação LDAP
  - From: anderson@mfplan.com.br

Prev by Date: Re: Entrada nova no KDM
Next by Date: Re: Permissões no mount
Previous by thread: Autenticação LDAP
Next by thread: Leitor de email em linha de comando
Index(es):
- Date
- Thread