Sarge è piovuta stable nell'esatto momento in cui mi serviva. Ottimo. ;) Sto sistemando un bel server PDC samba con backend ldap, e ovviamente sono arivato alla configurazione di libpam-ldap.
Solitamente uso la ``configurazione'': account sufficient pam_ldap.so account required pam_unix.so (ad esempio per account), ma questa ha il problema solito di usare sufficient: se pam_ldap.so fa match, tutte le successive istanze di account non vengono ignorate. Solitamente (in woody) spostavo queste istanze di modo che fosserlo le ultime della catena (anche questo formalmente non corretto...), ma con sarge se lo faccio risulta che ho toccato i file in pam.d, e non solo i common-*. Ho però visto: /usr/share/doc/libpam-ldap/README.Debian e la prima parte mi è parsa chiarissima, per auth, e infatti l'ho implementata. La seconda parte, specificatamente: - If you want to use the "pam_check_host_attr" feature, make sure "pam_unix.so" doesn't provide a valid "account" via the Name Service Switch (NSS), which overrides your LDAP configuration. Don't use "ldap" for "shadow" in /etc/nsswitch.conf, just use "shadow: files". For PAM, use something like the following: # Try local /etc/shadow first and skip LDAP on success account [success=1 default=ignore] pam_unix.so account required pam_ldap.so account required pam_permit.so invece nno mi è affatto chiara, e l'unico riferimento a pam_check_host_attr che ho trovato è su /etc/pam_ldap.conf: # Check the 'host' attribute for access control # Default is no; if set to yes, and user has no # value for the host attribute, and pam_ldap is # configured for account management (authorization) # then the user will not be allowed to login. #pam_check_host_attr yes ma non colgo il nesso con tutto il resto, ne sil perchè non si debba usare shadow in nssswitch.conf: in generale non si capisce se siano cose incorrelate o uno stesso warning. Ad ogni modo ho utilizzato lo schema: account [success=1 default=ignore] pam_unix.so account required pam_ldap.so account required pam_permit.so anche per auth, session and password, mi piacerebbe sapere che cosa avete fatto voi. Grazie. PS: si ho cercato anche in rete, ma non ho trovato nulla. Esiste anche: http://wiki.debian.net/?LDAPAuthentication ma utilizza ancora il sistema del sufficient che è subottimale. -- L'entropia dei soldi aumenta sempre. (prof. Taffara) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]