LDAP - Criar diretorio usuário

To: "'Edmundo Valle Neto'" <edmundo.valle@terra.com.br>, <debian-user-portuguese@lists.debian.org>
Cc: <debian-user-portuguese@lists.debian.org>
Subject: LDAP - Criar diretorio usuário
From: "Gustavo de Carvalho" <gustavo.grupos@gmail.com>
Date: Tue, 28 Mar 2006 08:16:58 -0300
Message-id: <[🔎] 44291b33.0301f01e.3316.4608@mx.gmail.com>
In-reply-to: <[🔎] 4428CF9C.6070705@terra.com.br>

Edmundo,

Descobri o probleminha.
Na verdade o PAM esta funcionando corretamente. O Problema e que ao criar o
usuário no PHPLDAPADMIN ele não cria o diretório. Assim sendo temos que crar
como usuário root e dar as permissões.

Porem se as permissões estiverem erradas ele da pani e não loga.

Existe alguma forma de fazer o PHPLDAPADMIN ou algum parâmetro que coloca no
arquivo ldif para que possa criar o diretório do usuário?

Att
Gustavo

-----Mensagem original----- arquivo .ldi
De: Edmundo Valle Neto [mailto:edmundo.valle@terra.com.br] 
Enviada em: terça-feira, 28 de março de 2006 02:55
Para: debian-user-portuguese@lists.debian.org
Cc: debian-user-portuguese@lists.debian.org
Assunto: Re: LDAP+GDM

Fabio A Mazzarino escreveu:

> Gustavo:
>
> Basta vc configurar os arquivos /etc/pam.d/common-*
> Uma vez configurados da maneira correta, e se vc não mecheu nos
>arquivos /etc/pam.d/gdm* o gdm deve funcionar.
>
> Tenta fazer isso, se não conseguir volta na lista que a gente vê
>outras possibilidades.
>
> Fabio
>
>On 3/27/06, Gustavo de Carvalho <gustavo.grupos@gmail.com> wrote:
>  
>
>>
>>Galera,
>>
>>
>>
>>Alguém sabe qual arquivo devo configurar ou qual configuração para que meu
>>GDM possa autenticar no LDAP.
>>
>>
>>
>>Att,
>>
>>Gustavo
>>    
>>
>
>
>--
>--
>Não existem Killer Applications de Código Aberto em Java. Ajude a
>provar o contrário:
>http://drupal.gulivap.org/?q=node/106
>
>
>Esta mensagem foi verificada pelo E-mail Protegido Terra.
>Scan engine: McAfee VirusScan / Atualizado em 24/03/2006 / Versão:
4.4.00/4726
>Proteja o seu e-mail Terra: http://mail.terra.com.br/
>
>
>
>  
>

Só para completar:

Você deve ter instalados os pacotes libnss-ldap, libpam-ldap e nscd, e 
configurar os módulos pam

Instalar o libnss-ldap e configurar de acordo, o endereço do servidor e 
a base de pesquisa do ldap.
Configurar o arquivo /etc/nsswitch.conf para utilizar o ldap.

A partir daqui o seu sistema já deve ter noção das contas no ldap:
# getent passwd (deve retornar as contas inclusive as do ldap)
# getent group (deve retornar os grupos inclusive os do ldap)

Instalar o libpam-ldap e configurar de acordo, o endereço do servidor e 
a base de pesquisa do ldap.
(a senha do administrador da base só é necessaria se você deseja alterar 
informações de contas ou senhas a partir desta máquina).

Configurar os módulos pam (configurando desta forma a configuração vale 
para todos os serviços, não só para o gdm):

Exemplo:

/etc/pam.d/common-account:
account        sufficient    pam_ldap.so
account        required    pam_unix.so try_first_pass

/etc/pam.d/common-auth:
auth   optional   pam_group.so
auth    sufficient    pam_ldap.so
auth    required    pam_unix.so nullok_secure use_first_pass

/etc/pam.d/common-password:
password    sufficient    pam_ldap.so
password    required    pam_unix.so nullok obscure min=4 max=8 md5 
use_first_pass

/etc/pam.d/common-session:
session   required   pam_mkhomedir umask=0022
session    required    pam_unix.so

/etc/security/group.conf
gdm; *; *; Al0000-2400; audio, video, cdrom, floppy

Instalar o nscd para fazer cache das pesquisas no ldap.

As configurações do pam dependem muito do que você precisa, podem ser 
bem simples e serem feitas nos arquivos common-* (que são incluídos 
automaticamente nos arquivos especificos para os serviços) ou serem 
feitas separadamente para cada serviço e conter diversos módulos além do 
obviamente necessário (neste caso) "pam_ldap".
Se você não precisa alterar as senhas do ldap através do comando passwd 
local o módulo "pam_ldap" não precisa constar no arquivo common-password 
(alias, para fazer isso você deve configurar a senha do administrador 
quando instalar o pacote libpam-ldap também).
Mas é interessante por exemplo criar os home directories conforme 
necessidade "pam_mkhomedir" já que você está utilizando usuários remotos 
e para usar o X seria bom que eles tivessem um home directory. E também 
adicioná-los em grupos de acesso a hardware "pam_group", por exemplo 
para usar o driver de vídeo nvidia os usuários devem fazer parte do 
grupo "video" e não há como saber antecipadamente quais os usuários 
remotos devem ser incluídos nesse grupo.
Existem módulos para mapeamento de recursos do samba assim que o usuario 
fizer o login (pam_mount), etc.

Edmundo.

-- 
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: LDAP - Criar diretorio usuário
  - From: "Fabio A Mazzarino" <fabio.mazzarino@gmail.com>

References:
- Re: LDAP+GDM
  - From: Edmundo Valle Neto <edmundo.valle@terra.com.br>

Prev by Date: Re: LDAP+GDM
Next by Date: HOW TO GFORGE
Previous by thread: Re: LDAP+GDM
Next by thread: Re: LDAP - Criar diretorio usuário
Index(es):
- Date
- Thread