Ldap
使用 pam_ldap 設置 PAM
我正在執行 ubuntu 10.10 並嘗試使用 pam_ldap 設置 pam。
位於http://wiki.debian.org/LDAP/PAM的指南說,除其他外:
In order to globally enable LDAP authentication through PAM, configure /etc/pam_ldap.conf accordingly and edit the /etc/pam.d/common-* files so that they contain something like this: /etc/pam.d/common-account: account required pam_unix.so account sufficient pam_succeed_if.so uid < 1000 quiet account [default=bad success=ok user_unknown=ignore] pam_ldap.so account required pam_permit.so
現在,以這個文件為例,我看到:
# here are the per-package modules (the "Primary" block) account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so account [success=1 default=ignore] pam_ldap.so # here's the fallback if no module succeeds account requisite pam_deny.so
我的問題是,我是否刪除了該文件中目前的內容,用指南中的內容替換它們 - 或者我將指南中的內容附加到文件末尾?
您複製的第二個文件應該已經允許通過 LDAP 訪問。
第一條規則將嘗試通過標準的 unix 機制( passwd/shadow )進行身份驗證。如果失敗,則呼叫第二條規則並嘗試使用 pam_ldap 進行身份驗證。如果然後失敗,則拒絕登錄。
附帶說明一下,在實施 PAM 時,不要忘記逐步測試。
確保您可以通過 ldapsearch 進行搜尋,以驗證您的 /etc/pam_ldap 和/或 /etc/nss_ldap 配置是否正確。
還要確保 getent passwd / getent group 返回 Unix 和 Ldap 帳戶,以驗證您的 /etc/nsswitch.conf 配置是否正確。