Markus Hubig <[EMAIL PROTECTED]> writes:
>> Und nimm pam_unix vor pam_ldap, sonst k�nnte es Probleme z.B. mit
>> dem Samba-Root Account geben (f�r Samba/LDAP mu� ein User im LDAP
>> die uidNumber 0 und die uid root haben).
>
> Das verstehe ich nicht? Wenn ich pam_unix ("required") vor pam_ldap
> ("sufficient") nehme, dann habe ich ein �hnliches Kuttel-Muddel wie mit
> 2x required! Und root ist bei mir auch im LDAP.
Samba selbst benutzt kein PAM, sondern geht direkt zum LDAP. Obigen
Punkt mu�t du auch nur beachten, falls du wirklich Samba einsetzen
willst.
>
>> �brigens hatte Redhat 7.2 bei der Auswahl von LDAP gro�en Schwachsinn
>> in /etc/pam.d/system-auth reingeschrieben, ohne laufenden LDAP-Server
>> war kein Login mehr m�glich (und da der LDAP-Server nicht automatisch
>> gestartet wurde, ging es nicht mehr ohne single user mode weiter).
>> Aber bei Debian gibt es ja zum Gl�ck dieses Problem nicht.
>
> Bei mir steht �berall pam_ldap mit sufficient vor pam_unix mit
> required. Wenn ich den LDAP-Server abschalte gibt dass aber _keine_
> Probleme, pam_ldap wird dann einfach �bersprungen und stattdessen
> pam_unix genutzt.
Bei Redhat standen pam_unix *und* pam_ldap mit required drin. Den
Effekt bei nicht erreichbaren LDAP-Server kannst du dir sicher gut
vorstellen.
>> Ein sufficient mu� als letztes stehen.
>
> Scheinbar nicht. Siehe oben.
Ein erfolgreiches sufficient in einer Kategory verhindert, da� danach
stehende required der gleichen Kategorie ausgef�hrt werden.
> Hmm, weder
>
> | passwd: compat ldap
> | group: compat ldap
>
> noch
>
> | passwd: ldap compat
> | group: ldap compat
>
> bewirken da etwas ... *gr�bel*
Was liefert "getent passwd <username>"?
> Interessant ist, das mir chsh als default-Shell-Vorschlag immer die
> Shell pr�sentiert welche im LDAP eingetragen ist. Benutzt (login auf
> der Console und �ber ssh) wird aber was in /etc/passwd steht!? Wer
> startet den nach dem Login die Shell? Vielleicht kann ich ja da
> ansetzen ...
Leider kann ich erst wieder ab Woche 39 an meine damals vorgenommene
PAM-Konfiguration ran. Dort wurden loginShell (in diesem Fall
/bin/false, um ein Login zu verhindern) und homeDirectory aus dem LDAP
gelesen.
Ich kann mich aber daran erinnern, die RedHat 7.2
Default-Konfiguration genommen zu haben und jedes Auftreten von
pam_unix um pam_ldap (beide nat�rlich sufficient statt required)
erg�nzt zu haben.
Torsten
--
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
