Re: Autentificación LDAP con PAM (sin NSS)

[Jhosue Rui <ing.jrui@gmail.com>]

Marc Franquesa escribió:
> Estoy intentando autenticar usuarios via LDAP usando el modulo pam-ldap.
> He seguido la documentación de http://wiki.debian.org/LDAP, de la web de
> padl (creadores del nss-ldap i el pam-ldap) y varios foros.
>
> Tengo instalado y configurado OpenLDAP i el NSS funciona correctamente
> para resolver todos los mapas (passwd,groups,shadow, hosts, ...) mapear
> uids i gids y todo lo de más, el problema lo tengo con autentificar
> usuarios.
>
> Si configuro el módulo NSS para conectarse (bind) como usuario
> privilegiado (de tal forma que pueda ver los hashes de los passwords de
> shadow) y los passwords se guardan en LDAP con formato clear (claro) o
> (md5) puedo autentificar usuarios perfectamente.
>
> Pero no quiero que NSS acceda al shadow, sino que el PAM-LDAP haga un
> bind como el usuario a autenticar (y así evitar guardar
> usuarios/passwords con acceso al LDAP en ficheros).
>
> Sé que se puede hacer, de hecho la documentación de
> http://wiki.debian.org/LDAP/PAM (y otros) así lo indica. Lo que yo
> quiero es implementar el primer método ahí comentado:
>
>         There are basically two ways to configure PAM to use LDAP
>         credentials. The first way uses the pam_ldap module from the
>         libpam-ldap package to try to log into the LDAP server when
>         checking passwords. With the second way password hashes are
>         exposed from the LDAP server to the clients using NSS and use
>         the traditional pam_unix module does authentication. pam_ldap
>         can be used in this situation to change passwords. Both
>         solutions have their pros and cons. 
>         
>         In both cases the users should be exposed through NSS. Only for
>         the second way it is needed for getent shadow to return password
>         hashes when run as root. 
>         
>         The pure pam_ldap solution allows limiting logins by how users
>         are stored in the directory (e.g. only allow logins for users in
>         a certain piece of the directory, require some attribute, etc).
>         It also requires less access rights to the LDAP directory and
>         does not expose password hashes. 
>
> Pero no lo consigo (la documentación sólo explica la configuración de
> los modulos PAM, no del fichero pam_ldap.conf) y no sé como 'depurar' y
> ver los pasos que hace el módulo PAM-ldap para autentificar el usuario.
>
> Alguna pistilla?
>
> Muchas gracias.

Hola.

Creo que no estas enfocando el problema por el lado correcto, si no 
quieres guardar las contraseñas de los usuarios privilegiados del LDAP 
en las maquinas cliente, lo que tienes que hacer es modificar las reglas 
de acceso en el slapd.con (asumo que estas usando open ldap) para que 
solo tengan acceso usuarios autenticados.

Para mayor información, esto lo aplican en este tutorial de esdebian [1] 
punto 4.2. Si bien se trata de montar un pdc con samba, también aplica 
para otras casos ( el tuyo lo explican en el punto 11 ).

Sin nada mas que aportar

Jhosue.

[1]http://www.esdebian.org/wiki/controlador-primario-dominio-pdc-debian-lenny-50-mediante-samba-pamnss-openldap

-----------------------------------------------------------------------
Por favor, NO utilice formatos de archivo propietarios para el
intercambio de documentos, como DOC y XLS, sino HTML, PDF, TXT, CSV o
cualquier otro que no obligue a utilizar un programa de un fabricante
concreto. Vea http://www.gnu.org/philosophy/no-word-attachments.es.html
------------------------------------------------------------------------
usuario linux registrado #387231
http://counter.li.org
------------------------------------------------------------------------