[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Confusión con /etc/pam_ldap.conf y /etc/libnss-ldap.conf



El Miércoles, 3 de Enero de 2007 15:05, Christian Pinedo Zamalloa escribió:
> On Wed, Jan 03, 2007 at 12:29:25AM +0100, Iñaki wrote:
> > Hola, ¿alguien sabe porqué existen los ficheros "/etc/pam_ldap.conf"
> > y "libnss-ldap.conf"?
> >
> > Corresponden al paquete "libpam-ldap" y "libnss-pam" respectivamente, y
> > son exactamente iguales, incluso el proceso "debconf" en ambos es
> > idéntico al 90%.
> >
> > Si a esto le añadimos que en documentación sobre pam/nss-ldap de
> > cualquier otra distro sólo se usa un único archivo /etc/ldap.conf para
> > ambos, me pregunto ¿por qué en Debian existen esos dos ficheros
> > totalmente iguales en vez de usar sólo uno? ¿por qué duplicar la misma
> > información
> > innecesariamente?
>
> Tiene su lógica. Como has dicho uno tiene labores de autentición y otro
> de consulta a las bases de datos del sistema. En mi caso, tengo un
> dominio/workgroup samba con LDAP y utilizo libnss-ldap pero no llego a
> utilizar libpam-ldap. ¿Por que? Porque no quiero que otros sistemas
> utilicen LDAP para autenticar a los usuarios (login, ssh,
> ...) pero necesito que el sistema pueda resolver los uids y gids
> correctamente haciendo uso de la base de datos ldap (libnns-ldap).
> Saludos,

Gracias a los 3 por vuestra ayuda.

Ok, entiendo que NSS y PAM tienen cometidos diferentes, pero si os fijáis en 
el archivo /etc/pam_ldap.conf aparecen también las opciones relativas a NSS 
(como los "nss map...") y sucede lo recíproco en /etc/libnss_ldap.conf, donde 
aparecen las opciones de PAM (que no tienen efecto lógicamente).

O sea, si al menos hubiesen dejado "seco" cada archivo sólo con las opciones 
que le incumben todavía, pero así...

Por otra parte, comento también que en la instalación de libnss_ldap se 
recomienda poner 600 al /etc/libnss_ldap.conf, lo cuál es trágico porque los 
usuarios normales no pueden resolver ni siquiera el nombre de su grupo 
primario si el grupo está en LDAP. Qué raro, ¿no?

Un saludo y gracias ;)


-- 
Iñaki

Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista



Reply to: