O legal que vc nem precisa adicionar os users do ldap no /etc/passwd e /etc/shadow. Se vc configurar o OpenLDAP e integrar com o PAM igual os exemplos que te mandei ae, mesmo se a base LDAP cair por algum motivo os usuários do /etc/passwd continuam sendo lidos sem problemas. Basta usar [UNAVAIL=return].
Pro OpenLDAP nem exemplifiquei pq são muitos detalhes, porém é banal subir uma base LDAP com ele. Ve ae e se agarrar grita aqui. :D Att, Raphael Bastos aka Coffnix *====================================================* * Linux Reg. User*: 388431 // *LPI ID:* LPI000214711 *email:~> $* echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ 's/(.)/chr(ord($1)-2*3)/ge' *Public Key:* 3FBB468B // http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt *Yaxkin/Gentoo Linux* - http://downloads.hackstore.com.br *Wiki Hackstore* - http://wiki.hackstore.com.br *Área 31 Hackerspace* - http://www.area31.net.br *Kankin/Funtoo Linux* - http://kankin.area31.net.br *====================================================* Em 15 de maio de 2014 12:34, Raphael Bastos <[email protected]>escreveu: > Segue minhas confs do LDAP no PAM, num Funtoo Linux (Gentoo Based): > > server ~ # cat /etc/pam.d/system-auth > auth required pam_env.so > auth sufficient pam_ssh.so > auth required pam_unix.so try_first_pass likeauth nullok > auth optional pam_permit.so > #LDAP > auth sufficient pam_ldap.so use_first_pass > > account required pam_unix.so > account optional pam_permit.so > #LDAP > account sufficient pam_ldap.so > > password required pam_cracklib.so difok=2 minlen=8 dcredit=2 > ocredit=2 retry=3 > password required pam_unix.so try_first_pass use_authtok > nullok sha512 shadow > password optional pam_permit.so > #LDAP > password sufficient pam_ldap.so use_authtok use_first_pass > > session optional pam_ssh.so > session required pam_limits.so > session required pam_env.so > session required pam_unix.so > session optional pam_permit.so > #LDAP > session optional pam_ldap.so > > > server ~ # cat /etc/nsswitch.conf > # /etc/nsswitch.conf: > # $Header: > /var/cvsroot/gentoo/src/patchsets/glibc/extra/etc/nsswitch.conf,v 1.1 > 2006/09/29 23:52:23 vapier Exp $ > # > > > #passwd: compat ldap > #shadow: compat > #group: compat ldap > passwd: compat files [UNAVAIL=return] ldap > shadow: compat files [UNAVAIL=return] ldap > #shadow: files ldap > group: compat files [UNAVAIL=return] ldap > > # passwd: db files nis > # shadow: db files nis > # group: db files nis > > hosts: files dns > networks: files dns > > services: db files > protocols: db files > rpc: db files > ethers: db files > netmasks: files > netgroup: files > bootparams: files > > automount: files > aliases: files > > > > Att, > Raphael Bastos aka Coffnix > > *====================================================* > * Linux Reg. User*: 388431 // *LPI ID:* LPI000214711 > *email:~> $* echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ > 's/(.)/chr(ord($1)-2*3)/ge' > *Public Key:* 3FBB468B // > http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt > *Yaxkin/Gentoo Linux* - http://downloads.hackstore.com.br > *Wiki Hackstore* - http://wiki.hackstore.com.br > *Área 31 Hackerspace* - http://www.area31.net.br > *Kankin/Funtoo Linux* - http://kankin.area31.net.br > *====================================================* > > > Em 15 de maio de 2014 12:29, Raphael Bastos < > [email protected]> escreveu: > > Oi, >> >> Então vc vai usar o OpenLDAP. E na verdade eu até aconselho vc ter nas 3, >> em A, B e C o openLDAP, como replicação mesmo. Vai que dá merda na maquina >> A. :D >> >> Pra adequar o pam pra usar o LDAP, lembre-se de instalar o pam_ldap. Após >> isso, basta configurar o PAM pra uso do ldap e boa. Eu não documentei >> ldap+slackware, mas tenho docs de outras distros que talvez possam te >> ajudar. :D >> >> >> http://wiki.hackstore.com.br/index.php?search=ldap&button=&title=Especial%3ABusca >> >> De toda forma, fuça lá na minha wiki. Se algo agarrar tu me avisa aqui na >> thread, ou abre uma nova específica de LDAP+PAM. Se vc quiser pode >> documentar todo o processo que adicionamos lá na minha wiki. >> >> Abração. >> >> >> Att, >> Raphael Bastos aka Coffnix >> >> *====================================================* >> * Linux Reg. User*: 388431 // *LPI ID:* LPI000214711 >> *email:~> $* echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ >> 's/(.)/chr(ord($1)-2*3)/ge' >> *Public Key:* 3FBB468B // >> http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt >> *Yaxkin/Gentoo Linux* - http://downloads.hackstore.com.br >> *Wiki Hackstore* - http://wiki.hackstore.com.br >> *Área 31 Hackerspace* - http://www.area31.net.br >> *Kankin/Funtoo Linux* - http://kankin.area31.net.br >> *====================================================* >> >> >> Em 15 de maio de 2014 01:06, Piter PUNK <[email protected]> escreveu: >> >> Cleber Ianes wrote: >>> >>>> Eu tenho 3 máquinas, A, B e C. >>>> Quero manter o usuário "user1" cadastrado apenas na máquina A. E, >>>> através do PAM fazer com que eu consiga me logar tanto na B como na C >>>> com o usuário "user1". Um sistema de centralização de login! >>>> A muito tempo eu li algo dizendo que isso seria possível pelo PAM, mas >>>> não estou encontrando em nenhuma documentação. >>>> >>> >>> Para instalar PAM em um sistema sem PAM, tem que compilar a Linux-PAM >>> propriamente dita, montar a configuração dentro do /etc/pam.d e depois >>> compilar tooooooodos os programas que envolvam logins e senhas para usar >>> a PAM. >>> >>> Para fazer um serviço de login centralizado não precisa de PAM, precisa >>> é de um serviço na sua rede que te forneça os nomes, grupos e senhas, >>> como um LDAP, AD (tá, eu sei que é um LDAP), NIS, etc. E vai precisar >>> também de um jeito de ler essas informações do serviço centralizado. >>> >>> O PAM facilita o lado do cliente. Por ser modularizado, você precisa >>> instalar só um modulozinho novo para ele ler/escrever as informações >>> em um lugar diferente, sem precisar alterar mais nada, já que todos >>> os programas que usam a PAM vão usar o tal módulo. >>> >>> Com ou sem PAM, o centralizador de usuários e senhas mais bobo e fácil >>> de instalar que eu conheço é o NIS. Apesar de não criptografado, >>> inseguro e blablabla, ele é simples de configurar e de usar. >>> >>> Aliás, para 3 máquinas eu faria algo ainda mais primitivo, um rsync >>> de tempos em tempos copiando da máquina A para a B e a C. >>> >>> A preguiça ainda vai me matar. >>> >>> Piter Punk >>> >>> >>> -- >>> GUS-BR - Grupo de Usuários de Slackware Brasil >>> http://www.slackwarebrasil.org/ >>> http://groups.google.com/group/slack-users-br >>> >>> Antes de perguntar: >>> http://www.istf.com.br/perguntas/ >>> >>> Para sair da lista envie um e-mail para: >>> [email protected] >>> --- Você está recebendo esta mensagem porque se inscreveu no grupo >>> "Slackware Users Group - Brazil" dos Grupos do Google. >>> >>> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, >>> envie um e-mail para [email protected]. >>> Para obter mais opções, acesse https://groups.google.com/d/optout. >>> >> >> > -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] --- Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware Users Group - Brazil" dos Grupos do Google. Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para [email protected]. Para obter mais opções, acesse https://groups.google.com/d/optout.
