[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Confusión con /etc/pam_ldap.conf y /etc/libnss-ldap.conf



El Jueves, 4 de Enero de 2007 14:06, Federico Alberto Sayd escribió:
> > Por otra parte, comento también que en la instalación de libnss_ldap se
> > recomienda poner 600 al /etc/libnss_ldap.conf, lo cuál es trágico porque
> > los usuarios normales no pueden resolver ni siquiera el nombre de su
> > grupo primario si el grupo está en LDAP. Qué raro, ¿no?
>
> Creo que el archivo que tiene que estar en modo 600 es
> /etc/pam_ldap.scrt  que lo único que contiene es el password del usuario
> administrador del ldap. ¿Para qué? para que pam pueda tener acceso de
> escritura a ldap cuando quiera cambiar contraseñas o agregar usuarios
> con los comandos passwd o useradd (adduser??). Creo que también tienes
> la opción de poner esa contraseña en el mismo archivo, en este caso
> /etc/pam_ldap.conf, entonces si habría que ponerlo en modo 600.
>
> Otra opción es crear un usuario llamado proxy en tu árbol ldap y darle
> permiso para que cambie los atributos de contraseña o los de usuario y
> nada más, ningún otro sobre el árbol, entonces pones ese usuario en
> /etc/pam_ldap.conf  y su contraseña en /etc/pam_ldap.scrt y tienes la
> ventaja (bueno, no gran ventaja) de que si te pillan la contraseña solo
> podrán modificar datos de usuarios (pero me parece que esto sirve si tu
> árbol ldap tiene información más importante que las cuentas de usuarios).
>
> Pero el caso es que si solo quieres que pam autentique y nss resuelva
> uids y gids a nombres no tienes por qué poner la clave del administrador
> ldap. Solamente dejas que nss o pam se conecten en modo anónimo que para
> autenticar y resolver les basta. Y para administrar usuarios usaría una
> herramienta aparte en vez de los típicos comandos del sistema.

Muy didáctico, gracias ;)


-- 
Iñaki

Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista



Reply to: