Re: Confusión con /etc/pam_ldap.conf y /etc/libnss-ldap.conf
El Miércoles, 3 de Enero de 2007 15:05, Christian Pinedo Zamalloa escribió:
> On Wed, Jan 03, 2007 at 12:29:25AM +0100, Iñaki wrote:
> > Hola, ¿alguien sabe porqué existen los ficheros "/etc/pam_ldap.conf"
> > y "libnss-ldap.conf"?
> >
> > Corresponden al paquete "libpam-ldap" y "libnss-pam" respectivamente, y
> > son exactamente iguales, incluso el proceso "debconf" en ambos es
> > idéntico al 90%.
> >
> > Si a esto le añadimos que en documentación sobre pam/nss-ldap de
> > cualquier otra distro sólo se usa un único archivo /etc/ldap.conf para
> > ambos, me pregunto ¿por qué en Debian existen esos dos ficheros
> > totalmente iguales en vez de usar sólo uno? ¿por qué duplicar la misma
> > información
> > innecesariamente?
>
> Tiene su lógica. Como has dicho uno tiene labores de autentición y otro
> de consulta a las bases de datos del sistema. En mi caso, tengo un
> dominio/workgroup samba con LDAP y utilizo libnss-ldap pero no llego a
> utilizar libpam-ldap. ¿Por que? Porque no quiero que otros sistemas
> utilicen LDAP para autenticar a los usuarios (login, ssh,
> ...) pero necesito que el sistema pueda resolver los uids y gids
> correctamente haciendo uso de la base de datos ldap (libnns-ldap).
> Saludos,
Gracias a los 3 por vuestra ayuda.
Ok, entiendo que NSS y PAM tienen cometidos diferentes, pero si os fijáis en
el archivo /etc/pam_ldap.conf aparecen también las opciones relativas a NSS
(como los "nss map...") y sucede lo recíproco en /etc/libnss_ldap.conf, donde
aparecen las opciones de PAM (que no tienen efecto lógicamente).
O sea, si al menos hubiesen dejado "seco" cada archivo sólo con las opciones
que le incumben todavía, pero así...
Por otra parte, comento también que en la instalación de libnss_ldap se
recomienda poner 600 al /etc/libnss_ldap.conf, lo cuál es trágico porque los
usuarios normales no pueden resolver ni siquiera el nombre de su grupo
primario si el grupo está en LDAP. Qué raro, ¿no?
Un saludo y gracias ;)
--
Iñaki
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista
Reply to: