Re: Benutzer-Authentifizierung =?iso-8859-1?q?=FCber?= LDAP

Wed, 04 Sep 2002 13:31:05 -0700 

Markus Hubig <[EMAIL PROTECTED]> writes:

[...]

> 1. Ist es besser den password LDAP-Eintrag in /etc/pam.d/login und
>    /etc/pam.d/passwd mit "sufficient" oder mit "required" zu machen ?? 
>    Wie habt ihr das?

Ich empfehle sufficient.  Bei required m�ssen alle angegebenen Module
zustimmen, bei pam_unix und pam_ldap nicht so sinnvoll.  Und nimm
pam_unix vor pam_ldap, sonst k�nnte es Probleme z.B. mit dem
Samba-Root Account geben (f�r Samba/LDAP mu� ein User im LDAP die
uidNumber 0 und die uid root haben).

�brigens hatte Redhat 7.2 bei der Auswahl von LDAP gro�en Schwachsinn
in /etc/pam.d/system-auth reingeschrieben, ohne laufenden LDAP-Server
war kein Login mehr m�glich (und da der LDAP-Server nicht automatisch
gestartet wurde, ging es nicht mehr ohne single user mode weiter).
Aber bei Debian gibt es ja zum Gl�ck dieses Problem nicht.

> 2. Ein Eintrag wie:
>
> | auth            required    pam_env.so
>
>    wird Ja IMHO nur ausgewertet wenn er *for* einem evtl. vorhandenen
>    "sufficient" Eintrag steht. Allerdings habe ich pam_env.so in den
>    Original /etc/pam.d/*-Configs immer *nach* einem
>
> | auth            required    pam_unix.so
>
>    Eintrag gefunden. Beeintr�chtigt das jetzt die Funktion von pam_env.so? 

Ein sufficient mu� als letztes stehen.

> Au�erdem ist mir aufgefallen, wenn ich mittels "gq" meine Login-Shell 
> von bash -> csh �ndere bewirkt das genau garnichts ... 8-( 
>
> Welches PAM-Modul bzw. welcher PAM-Service ist den daf�r zust�ndig?
> Session? Unterst�tzt pam_ldap.so den "session"-Service?

Eigentlich sollte dies �ber /etc/nsswitch.conf (passwd) festgelegt
werden (einfach ldap hinter dem vorherigen compat erg�nzen), das
zugeh�rige Modul ist /usr/lib/libnss_ldap.so .

        Torsten

> BTW.: Kennt jemand eine gute Docu zu den PAM-Modulen? Habe schon ein
>       wenig gegoogelt, leider wahren die Ergebnisse recht
>       bruchst�ckhaft.

Schon http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html
gelesen?  Insbesondere Abschnitt 4.1.


-- 
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Antwort per Email an