Re: PAM - Autenticação de usuários

To: d-u-p <debian-user-portuguese@lists.debian.org>
Subject: Re: PAM - Autenticação de usuários
From: "Felipe Augusto van de Wiel (faw)" <faw@funlabs.org>
Date: Wed, 13 Feb 2008 19:13:32 -0200
Message-id: <[🔎] 47B35D7C.90701@funlabs.org>
Reply-to: d-u-p <debian-user-portuguese@lists.debian.org>
In-reply-to: <[🔎] 47B22C0A.2030500@gmail.com>
References: <[🔎] 47AEE179.6030109@gmail.com> <[🔎] 47AF9ECF.5070608@funlabs.org> <[🔎] 47B22C0A.2030500@gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 12-02-2008 21:30, Eduardo Sachs wrote:
> 
>>     Você pode usar nscd. E você pode usar a PAM para fazer
>> "failsafe", se um módulo não autentica vai para o próximo. É o
>> que acontece com LDAP/shadow, se o usuário não existe no LDAP
>> ele verifica no shadow.
> 
>    Você tem um exemplo de configuração para fazer failsafe?

	Hmmm... não um em especial, depende exatamente do que
você quer fazer. Os exemplos da PAM LDAP falam disso.


>      Por exemplo, eu tenho uma estação Linux a onde o usuário SACHS se
> loga todos os dias, porém, no meio da tarde a minha base de usuários
> fica offline por um determinado problema, não é preciso que o usuário
> SACHS esteja cadastrado no SHADOW / PASSWD da estação local para poder
> se autenticar novamente, sendo que a base está offilne? 

	Coisas diferentes. Uma coisa é o usuário não existir no
LDAP mas existir no shadow, a outra é você querer autenticar um
usuário do LDAP quando a base está offline, o ideal é ter
réplicas LDAP para este cenário. Se você tirar o arquivo shadow
os usuários do shadow também não vão poder autenticar, para o
LDAP é a mesma coisa, só que você pode distribuir a informação
em vários servidores, usar round-robin para ter acesso a outras
fontes de dados.


> Caso precise,
> como eu faria para cada LOGON haver uma atualização automática do SHADOW
> / PASSWD na estação local? Ou o nscd resolveria essa situação?

	O ncsd deveria resolver isso _parcialmente_. Mas você
não deveria mexer no shadow a cada logon. Inicialmente o problema
era permitir que um usuário que só existisse no shadow pudesse se
autenticar, agora estamos falando de um usuário que existe no LDAP
poder acessar com uma base offline, problemas diferentes, soluções
pelo mesmo recurso: PAM stack (a pilha da PAM).

	A documentação da libnss-ldap também indica sobre condicionais
de retorno em caso de erro.

Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHs118CjAO0JDlykYRAtDRAJ9FV3phRPipHRrtH+D8x7q3PbPz4ACfessW
wcIr8NMX6fIqjXjijMu6A8g=
=BC3a
-----END PGP SIGNATURE-----

Reply to:

References:
- PAM - Autenticação de usuários
  - From: Eduardo Sachs <edu.sachs@gmail.com>
- Re: PAM - Autenticação de usuários
  - From: "Felipe Augusto van de Wiel (faw)" <faw@funlabs.org>
- Re: PAM - Autenticação de usuários
  - From: Eduardo Sachs <edu.sachs@gmail.com>

Prev by Date: Re: Repositorios Debian
Next by Date: Re: PAM - Autenticação de usuários
Previous by thread: Re: PAM - Autenticação de usuários
Next by thread: Re: PAM - Autenticação de usuários
Index(es):
- Date
- Thread