使用 pam_ldap 設置 PAM

我正在執行 ubuntu 10.10 並嘗試使用 pam_ldap 設置 pam。

位於http://wiki.debian.org/LDAP/PAM的指南說，除其他外：

In order to globally enable LDAP authentication through PAM, configure /etc/pam_ldap.conf accordingly and edit the /etc/pam.d/common-* files so that they contain something like this:

/etc/pam.d/common-account:

account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

現在，以這個文件為例，我看到：

# here are the per-package modules (the "Primary" block)
account [success=2 new_authtok_reqd=done default=ignore]        pam_unix.so
account [success=1 default=ignore]      pam_ldap.so
# here's the fallback if no module succeeds
account requisite                       pam_deny.so

我的問題是，我是否刪除了該文件中目前的內容，用指南中的內容替換它們 - 或者我將指南中的內容附加到文件末尾？

您複製的第二個文件應該已經允許通過 LDAP 訪問。

第一條規則將嘗試通過標準的 unix 機制（ passwd/shadow ）進行身份驗證。如果失敗，則呼叫第二條規則並嘗試使用 pam_ldap 進行身份驗證。如果然後失敗，則拒絕登錄。

附帶說明一下，在實施 PAM 時，不要忘記逐步測試。

確保您可以通過 ldapsearch 進行搜尋，以驗證您的 /etc/pam_ldap 和/或 /etc/nss_ldap 配置是否正確。

還要確保 getent passwd / getent group 返回 Unix 和 Ldap 帳戶，以驗證您的 /etc/nsswitch.conf 配置是否正確。

引用自：https://serverfault.com/questions/224965