Não se esqueça de remover o usuário 'root' da base LDAP caso vc use algo pronto pra popular a mesma, como o smbldap-tools. ;)
O ideal é que alguns usuários estejam diretamente no /etc/passwd e /etc/shadow Att, Raphael Bastos aka Coffnix *====================================================* * Linux Reg. User*: 388431 // *LPI ID:* LPI000214711 *email:~> $* echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ 's/(.)/chr(ord($1)-2*3)/ge' *Public Key:* 3FBB468B // http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt *Yaxkin/Gentoo Linux* - http://downloads.hackstore.com.br *Wiki Hackstore* - http://wiki.hackstore.com.br *Área 31 Hackerspace* - http://www.area31.net.br *Kankin/Funtoo Linux* - http://kankin.area31.net.br *====================================================* Em 15 de maio de 2014 12:39, Cleber Ianes <[email protected]> escreveu: > Rafael, valeu, acho que é isso mesmo que preciso. > Vou testar em ambiente virtual no final de semana e dou um feedback. > Obrigado. > > > Em 15 de maio de 2014 12:35, Raphael Bastos < > [email protected]> escreveu: > >> O legal que vc nem precisa adicionar os users do ldap no /etc/passwd e >> /etc/shadow. >> Se vc configurar o OpenLDAP e integrar com o PAM igual os exemplos que te >> mandei ae, mesmo se a base LDAP cair por algum motivo os usuários do >> /etc/passwd continuam sendo lidos sem problemas. Basta >> usar [UNAVAIL=return]. >> >> Pro OpenLDAP nem exemplifiquei pq são muitos detalhes, porém é banal >> subir uma base LDAP com ele. Ve ae e se agarrar grita aqui. :D >> >> >> >> >> Att, >> Raphael Bastos aka Coffnix >> >> *====================================================* >> * Linux Reg. User*: 388431 // *LPI ID:* LPI000214711 >> *email:~> $* echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ >> 's/(.)/chr(ord($1)-2*3)/ge' >> *Public Key:* 3FBB468B // >> http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt >> *Yaxkin/Gentoo Linux* - http://downloads.hackstore.com.br >> *Wiki Hackstore* - http://wiki.hackstore.com.br >> *Área 31 Hackerspace* - http://www.area31.net.br >> *Kankin/Funtoo Linux* - http://kankin.area31.net.br >> *====================================================* >> >> >> Em 15 de maio de 2014 12:34, Raphael Bastos < >> [email protected]> escreveu: >> >> Segue minhas confs do LDAP no PAM, num Funtoo Linux (Gentoo Based): >>> >>> server ~ # cat /etc/pam.d/system-auth >>> auth required pam_env.so >>> auth sufficient pam_ssh.so >>> auth required pam_unix.so try_first_pass likeauth >>> nullok >>> auth optional pam_permit.so >>> #LDAP >>> auth sufficient pam_ldap.so use_first_pass >>> >>> account required pam_unix.so >>> account optional pam_permit.so >>> #LDAP >>> account sufficient pam_ldap.so >>> >>> password required pam_cracklib.so difok=2 minlen=8 >>> dcredit=2 ocredit=2 retry=3 >>> password required pam_unix.so try_first_pass use_authtok >>> nullok sha512 shadow >>> password optional pam_permit.so >>> #LDAP >>> password sufficient pam_ldap.so use_authtok use_first_pass >>> >>> session optional pam_ssh.so >>> session required pam_limits.so >>> session required pam_env.so >>> session required pam_unix.so >>> session optional pam_permit.so >>> #LDAP >>> session optional pam_ldap.so >>> >>> >>> server ~ # cat /etc/nsswitch.conf >>> # /etc/nsswitch.conf: >>> # $Header: >>> /var/cvsroot/gentoo/src/patchsets/glibc/extra/etc/nsswitch.conf,v 1.1 >>> 2006/09/29 23:52:23 vapier Exp $ >>> # >>> >>> >>> #passwd: compat ldap >>> #shadow: compat >>> #group: compat ldap >>> passwd: compat files [UNAVAIL=return] ldap >>> shadow: compat files [UNAVAIL=return] ldap >>> #shadow: files ldap >>> group: compat files [UNAVAIL=return] ldap >>> >>> # passwd: db files nis >>> # shadow: db files nis >>> # group: db files nis >>> >>> hosts: files dns >>> networks: files dns >>> >>> services: db files >>> protocols: db files >>> rpc: db files >>> ethers: db files >>> netmasks: files >>> netgroup: files >>> bootparams: files >>> >>> automount: files >>> aliases: files >>> >>> >>> >>> Att, >>> Raphael Bastos aka Coffnix >>> >>> *====================================================* >>> * Linux Reg. User*: 388431 // *LPI ID:* LPI000214711 >>> *email:~> $* echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ >>> 's/(.)/chr(ord($1)-2*3)/ge' >>> *Public Key:* 3FBB468B // >>> http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt >>> *Yaxkin/Gentoo Linux* - http://downloads.hackstore.com.br >>> *Wiki Hackstore* - http://wiki.hackstore.com.br >>> *Área 31 Hackerspace* - http://www.area31.net.br >>> *Kankin/Funtoo Linux* - http://kankin.area31.net.br >>> *====================================================* >>> >>> >>> Em 15 de maio de 2014 12:29, Raphael Bastos < >>> [email protected]> escreveu: >>> >>> Oi, >>>> >>>> Então vc vai usar o OpenLDAP. E na verdade eu até aconselho vc ter nas >>>> 3, em A, B e C o openLDAP, como replicação mesmo. Vai que dá merda na >>>> maquina A. :D >>>> >>>> Pra adequar o pam pra usar o LDAP, lembre-se de instalar o pam_ldap. >>>> Após isso, basta configurar o PAM pra uso do ldap e boa. Eu não documentei >>>> ldap+slackware, mas tenho docs de outras distros que talvez possam te >>>> ajudar. :D >>>> >>>> >>>> http://wiki.hackstore.com.br/index.php?search=ldap&button=&title=Especial%3ABusca >>>> >>>> De toda forma, fuça lá na minha wiki. Se algo agarrar tu me avisa aqui >>>> na thread, ou abre uma nova específica de LDAP+PAM. Se vc quiser pode >>>> documentar todo o processo que adicionamos lá na minha wiki. >>>> >>>> Abração. >>>> >>>> >>>> Att, >>>> Raphael Bastos aka Coffnix >>>> >>>> *====================================================* >>>> * Linux Reg. User*: 388431 // *LPI ID:* LPI000214711 >>>> *email:~> $* echo "xgvngkrhgyzuyFngiqyzuxk4ius4hx" | perl -pe \ >>>> 's/(.)/chr(ord($1)-2*3)/ge' >>>> *Public Key:* 3FBB468B // >>>> http://www.hackstore.com.br/coffnix/coffnix-pgp-key.txt >>>> *Yaxkin/Gentoo Linux* - http://downloads.hackstore.com.br >>>> *Wiki Hackstore* - http://wiki.hackstore.com.br >>>> *Área 31 Hackerspace* - http://www.area31.net.br >>>> *Kankin/Funtoo Linux* - http://kankin.area31.net.br >>>> *====================================================* >>>> >>>> >>>> Em 15 de maio de 2014 01:06, Piter PUNK <[email protected]>escreveu: >>>> >>>> Cleber Ianes wrote: >>>>> >>>>>> Eu tenho 3 máquinas, A, B e C. >>>>>> Quero manter o usuário "user1" cadastrado apenas na máquina A. E, >>>>>> através do PAM fazer com que eu consiga me logar tanto na B como na C >>>>>> com o usuário "user1". Um sistema de centralização de login! >>>>>> A muito tempo eu li algo dizendo que isso seria possível pelo PAM, mas >>>>>> não estou encontrando em nenhuma documentação. >>>>>> >>>>> >>>>> Para instalar PAM em um sistema sem PAM, tem que compilar a Linux-PAM >>>>> propriamente dita, montar a configuração dentro do /etc/pam.d e depois >>>>> compilar tooooooodos os programas que envolvam logins e senhas para >>>>> usar >>>>> a PAM. >>>>> >>>>> Para fazer um serviço de login centralizado não precisa de PAM, precisa >>>>> é de um serviço na sua rede que te forneça os nomes, grupos e senhas, >>>>> como um LDAP, AD (tá, eu sei que é um LDAP), NIS, etc. E vai precisar >>>>> também de um jeito de ler essas informações do serviço centralizado. >>>>> >>>>> O PAM facilita o lado do cliente. Por ser modularizado, você precisa >>>>> instalar só um modulozinho novo para ele ler/escrever as informações >>>>> em um lugar diferente, sem precisar alterar mais nada, já que todos >>>>> os programas que usam a PAM vão usar o tal módulo. >>>>> >>>>> Com ou sem PAM, o centralizador de usuários e senhas mais bobo e fácil >>>>> de instalar que eu conheço é o NIS. Apesar de não criptografado, >>>>> inseguro e blablabla, ele é simples de configurar e de usar. >>>>> >>>>> Aliás, para 3 máquinas eu faria algo ainda mais primitivo, um rsync >>>>> de tempos em tempos copiando da máquina A para a B e a C. >>>>> >>>>> A preguiça ainda vai me matar. >>>>> >>>>> Piter Punk >>>>> >>>>> >>>>> -- >>>>> GUS-BR - Grupo de Usuários de Slackware Brasil >>>>> http://www.slackwarebrasil.org/ >>>>> http://groups.google.com/group/slack-users-br >>>>> >>>>> Antes de perguntar: >>>>> http://www.istf.com.br/perguntas/ >>>>> >>>>> Para sair da lista envie um e-mail para: >>>>> [email protected] >>>>> --- Você está recebendo esta mensagem porque se inscreveu no grupo >>>>> "Slackware Users Group - Brazil" dos Grupos do Google. >>>>> >>>>> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, >>>>> envie um e-mail para [email protected]. >>>>> Para obter mais opções, acesse https://groups.google.com/d/optout. >>>>> >>>> >>>> >>> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> --- >> Você recebeu essa mensagem porque está inscrito no grupo quot;Slackware >> Users Group - Brazil" dos Grupos do Google. >> >> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, >> envie um e-mail para [email protected]. >> Para mais opções, acesse https://groups.google.com/d/optout. >> > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] > --- > Você recebeu essa mensagem porque está inscrito no grupo quot;Slackware > Users Group - Brazil" dos Grupos do Google. > > Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie > um e-mail para [email protected]. > Para mais opções, acesse https://groups.google.com/d/optout. > -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] --- Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware Users Group - Brazil" dos Grupos do Google. Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para [email protected]. Para obter mais opções, acesse https://groups.google.com/d/optout.
