On Wed, 04 Sep 2002, Torsten Hilbrich wrote: > Markus Hubig <[EMAIL PROTECTED]> writes: > >> 1. Ist es besser den password LDAP-Eintrag in /etc/pam.d/login und >> /etc/pam.d/passwd mit "sufficient" oder mit "required" zu machen ?? >> Wie habt ihr das? > > Ich empfehle sufficient. Bei required m�ssen alle angegebenen Module > zustimmen, bei pam_unix und pam_ldap nicht so sinnvoll.
Kommt darauf an. Wenn man gerne h�tte dass /etc/shadow und LDAP
synchron sind, dann macht das schon Sinn. Allerdings gibt das ein
ziemliches Kuttel-Muddel bei der Passworteingabe ... Da muss man sich
wohl etwas anderes einfallen lassen um /etc/passwd zu synchronisieren.
> Und nimm pam_unix vor pam_ldap, sonst k�nnte es Probleme z.B. mit
> dem Samba-Root Account geben (f�r Samba/LDAP mu� ein User im LDAP
> die uidNumber 0 und die uid root haben).
Das verstehe ich nicht? Wenn ich pam_unix ("required") vor pam_ldap
("sufficient") nehme, dann habe ich ein �hnliches Kuttel-Muddel wie mit
2x required! Und root ist bei mir auch im LDAP.
> �brigens hatte Redhat 7.2 bei der Auswahl von LDAP gro�en Schwachsinn
> in /etc/pam.d/system-auth reingeschrieben, ohne laufenden LDAP-Server
> war kein Login mehr m�glich (und da der LDAP-Server nicht automatisch
> gestartet wurde, ging es nicht mehr ohne single user mode weiter).
> Aber bei Debian gibt es ja zum Gl�ck dieses Problem nicht.
Bei mir steht �berall pam_ldap mit sufficient vor pam_unix mit
required. Wenn ich den LDAP-Server abschalte gibt dass aber _keine_
Probleme, pam_ldap wird dann einfach �bersprungen und stattdessen
pam_unix genutzt.
>> 2. Ein Eintrag wie:
>>
>> | auth required pam_env.so
>>
>> wird Ja IMHO nur ausgewertet wenn er *for* einem evtl. vorhandenen
>> "sufficient" Eintrag steht. Allerdings habe ich pam_env.so in den
>> Original /etc/pam.d/*-Configs immer *nach* einem
>>
>> | auth required pam_unix.so
>>
>> Eintrag gefunden. Beeintr�chtigt das jetzt die Funktion von pam_env.so?
>
> Ein sufficient mu� als letztes stehen.
Scheinbar nicht. Siehe oben.
>> Au�erdem ist mir aufgefallen, wenn ich mittels "gq" meine Login-Shell
>> von bash -> csh �ndere bewirkt das genau garnichts ... 8-(
>>
>> Welches PAM-Modul bzw. welcher PAM-Service ist den daf�r zust�ndig?
>> Session? Unterst�tzt pam_ldap.so den "session"-Service?
>
> Eigentlich sollte dies �ber /etc/nsswitch.conf (passwd) festgelegt
> werden (einfach ldap hinter dem vorherigen compat erg�nzen), das
> zugeh�rige Modul ist /usr/lib/libnss_ldap.so .
Hmm, weder
| passwd: compat ldap
| group: compat ldap
noch
| passwd: ldap compat
| group: ldap compat
bewirken da etwas ... *gr�bel*
Interessant ist, das mir chsh als default-Shell-Vorschlag immer die
Shell pr�sentiert welche im LDAP eingetragen ist. Benutzt (login auf
der Console und �ber ssh) wird aber was in /etc/passwd steht!? Wer
startet den nach dem Login die Shell? Vielleicht kann ich ja da
ansetzen ...
>> BTW.: Kennt jemand eine gute Docu zu den PAM-Modulen? Habe schon ein
>> wenig gegoogelt, leider wahren die Ergebnisse recht
>> bruchst�ckhaft.
>
> Schon http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html
> gelesen? Insbesondere Abschnitt 4.1.
Jetzt ja! ;-)
Gru�, Markus
--
Always remember you're unique, just like everyone else.
msg17842/pgp00000.pgp
Description: PGP signature
