[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Autentificación LDAP con PAM (sin NSS)

Estoy intentando autenticar usuarios via LDAP usando el modulo pam-ldap.
He seguido la documentación de http://wiki.debian.org/LDAP, de la web de
padl (creadores del nss-ldap i el pam-ldap) y varios foros.

Tengo instalado y configurado OpenLDAP i el NSS funciona correctamente
para resolver todos los mapas (passwd,groups,shadow, hosts, ...) mapear
uids i gids y todo lo de más, el problema lo tengo con autentificar
usuarios.

Si configuro el módulo NSS para conectarse (bind) como usuario
privilegiado (de tal forma que pueda ver los hashes de los passwords de
shadow) y los passwords se guardan en LDAP con formato clear (claro) o
(md5) puedo autentificar usuarios perfectamente.

Pero no quiero que NSS acceda al shadow, sino que el PAM-LDAP haga un
bind como el usuario a autenticar (y así evitar guardar
usuarios/passwords con acceso al LDAP en ficheros).

Sé que se puede hacer, de hecho la documentación de
http://wiki.debian.org/LDAP/PAM (y otros) así lo indica. Lo que yo
quiero es implementar el primer método ahí comentado:

        There are basically two ways to configure PAM to use LDAP
        credentials. The first way uses the pam_ldap module from the
        libpam-ldap package to try to log into the LDAP server when
        checking passwords. With the second way password hashes are
        exposed from the LDAP server to the clients using NSS and use
        the traditional pam_unix module does authentication. pam_ldap
        can be used in this situation to change passwords. Both
        solutions have their pros and cons. 
        
        In both cases the users should be exposed through NSS. Only for
        the second way it is needed for getent shadow to return password
        hashes when run as root. 
        
        The pure pam_ldap solution allows limiting logins by how users
        are stored in the directory (e.g. only allow logins for users in
        a certain piece of the directory, require some attribute, etc).
        It also requires less access rights to the LDAP directory and
        does not expose password hashes. 

Pero no lo consigo (la documentación sólo explica la configuración de
los modulos PAM, no del fichero pam_ldap.conf) y no sé como 'depurar' y
ver los pasos que hace el módulo PAM-ldap para autentificar el usuario.

Alguna pistilla?

Muchas gracias.
Reply to: