Ldap

使用 pam_ldap 設置 PAM

  • January 21, 2011

我正在執行 ubuntu 10.10 並嘗試使用 pam_ldap 設置 pam。

位於http://wiki.debian.org/LDAP/PAM的指南說,除其他外:

In order to globally enable LDAP authentication through PAM, configure /etc/pam_ldap.conf accordingly and edit the /etc/pam.d/common-* files so that they contain something like this:

/etc/pam.d/common-account:

account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

現在,以這個文件為例,我看到:

# here are the per-package modules (the "Primary" block)
account [success=2 new_authtok_reqd=done default=ignore]        pam_unix.so
account [success=1 default=ignore]      pam_ldap.so
# here's the fallback if no module succeeds
account requisite                       pam_deny.so

我的問題是,我是否刪除了該文件中目前的內容,用指南中的內容替換它們 - 或者我將指南中的內容附加到文件末尾?

您複製的第二個文件應該已經允許通過 LDAP 訪問。

第一條規則將嘗試通過標準的 unix 機制( passwd/shadow )進行身份驗證。如果失敗,則呼叫第二條規則並嘗試使用 pam_ldap 進行身份驗證。如果然後失敗,則拒絕登錄。

附帶說明一下,在實施 PAM 時,不要忘記逐步測試。

確保您可以通過 ldapsearch 進行搜尋,以驗證您的 /etc/pam_ldap 和/或 /etc/nss_ldap 配置是否正確。

還要確保 getent passwd / getent group 返回 Unix 和 Ldap 帳戶,以驗證您的 /etc/nsswitch.conf 配置是否正確。

引用自:https://serverfault.com/questions/224965