PAM-LDAP

Version vom 30. November 2010, 10:48 Uhr

PAM-LDAP wird über /etc/pam_ldap.conf konfiguriert. Die benötigten Informationen wurden bereits während der Installation erfragt

base dc=lenny,dc=local
uri ldap://127.0.0.1/
ldap_version 3
rootbinddn cn=admin,dc=lenny,dc=local
pam_password crypt

Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600).

Damit PAM LDAP an den entsprechenden Stellen einbezieht müssen unter /etc/pam.d/ noch einige Dateien angepaßt werden:

$ diff common-account.orig common-account
< account	required	pam_unix.so
---
> account	[success=1 default=ignore]	pam_unix.so
> account	required	pam_ldap.so
> account	required	pam_permit.so

$ diff common-auth.orig common-auth
< auth	required	pam_unix.so nullok_secure
---
> auth	[success=1 default=ignore]	pam_unix.so
> auth	required	pam_ldap.so use_first_pass
> auth	required	pam_permit.so

$ diff common-password.orig common-password
< password   required   pam_unix.so nullok obscure md5
---
> password	sufficient	pam_unix.so md5 obscure min=4 max=8 nullok try_first_pass
> password	sufficient	pam_ldap.so
> password	required	pam_deny.so

$ diff common-session.orig common-session
> session	required	pam_mkhomedir.so skel=/etc/skel umask=0022

Das Homeverzeichnis wird durch pam_mkhomedir beim ersten Anmelden erzeugt. Die Änderung des im LDAP gespeicherten Passworts ist durch PAM ganz normal mit passwd möglich.