> 'getent shadow lucica' nu da nimic. In schimb pt. useri din /etc/shadow > scrie ce ar trebui. Asta nu mi se pare normal. nss problem? da , nss nu merge deloc, eu credeam ca la getent passwd iti arata si useri din ldap uite mi-am pus acu nscd, nss-ldap in /etc/nsswitch.conf : ##==== passwd: files ldap group: files ldap shadow: files ldap ##=== restu ce ai in nsswich.conf e nefelositor, neinteresant
/etc/libnss-ldap.conf ##=== host 127.0.0.1 base dc=un,dc=domeniu,dc=oarecare ldap_version 3 pam_filter objectclass=account #asta ca sa nu iti rupa serveru de ldap pam_password crypt ##=== asta cam atit aci, pui mai mult daca stii exact ce faci, daca nu . NU /etc/pam_ldap.conf configurezi identic cu libnss-ldap.conf, de obicei sunt identice oricum "by default" cele doua fisiere, iar pe unele distributii se foloseste de ambele numai unu din ele /etc/ldap/ldap.conf (sau cum o fii pe distributia ta, /etc/openlda/ldap.conf) , etc , etc ,etc ##=== BASE dc=un,dc=domeniu,dc=oarecare URI ldap://127.0.0.1 ##=== In plus pui ce vrei si stii ce face /etc/pam.d/login (sau ssh ) auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_unix_auth.so try_first_pass #linia de sus pusa cu try_first_pass, ca sa foloseasca parola bagata pt #ldap, in caz ca nu era cont de ldap ala de incerci tu cu el) account sufficient /lib/security/pam_ldap.so account required /lib/security/pam_unix.so #linia de sus obligatorie dupa ldap, altfel buba password required /lib/security/pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5 #linia de sus cum o fii pe sistemu tau, nu e obligatoriu ce am pus eu ##=== sfarsit si cu pam,d/login sau ssh atentie ca mai sunt niste module de pam in fisierele tale, vezi ce pui, ce stergi , ce lasi. Nu am cum sa pun aci totu de pam .. dar ce am scris ar trebui sa fie suficient /etc/ldap/slapd.conf (sau /etc/openldap/slapd.conf sau ce ai tu pe distro) aci iti pun numai acl, pt inceput foloseste astea, dupa aia fale tu cum trebuie la tine(securitate, etc) ##=== access to attrs=userPassword by anonymous auth by self write by * none access to * by dn.regex="cn=admin,dc=un,dc=domeniu,dc=oarecare" write by * read ##======= Sper ca nu am omis chestii importante, tot ce e mai sus arata, e pe un debian sarge, merge si pe altele, difera locatii la fisiere de configurare. Concluzii: citeste documentatie pam, fati o imagine cam cum functioneaza tot sistemu, la ce foloseste nss, pam si ldap, si de ce se ocupa fiecare. Fa totu sa mearga, si dupa aia pune tls :D. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
