PAM-LDAP
Aus ConfigWiki
(Unterschied zwischen Versionen)
(Die Seite wurde neu angelegt: PAM-LDAP wird über /etc/pam_ldap.conf konfiguriert. Die benötigten Informationen wurden bereits während der Installation erfragt base dc=lenny,dc=local uri ldap:/...) |
|||
(3 dazwischenliegende Versionen von einem Benutzer werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
PAM-LDAP wird über /etc/pam_ldap.conf konfiguriert. Die benötigten Informationen wurden bereits während der Installation erfragt | PAM-LDAP wird über /etc/pam_ldap.conf konfiguriert. Die benötigten Informationen wurden bereits während der Installation erfragt | ||
− | base dc= | + | base dc=debian,dc=local |
uri ldap://127.0.0.1/ | uri ldap://127.0.0.1/ | ||
ldap_version 3 | ldap_version 3 | ||
− | rootbinddn cn=admin,dc= | + | rootbinddn cn=admin,dc=debian,dc=local |
pam_password crypt | pam_password crypt | ||
+ | |||
+ | Hier können noch folgende Direktiven ergänzt werden: | ||
+ | # erzwingt sofortige Rückmeldung bei Fehlern auf der Serverseite | ||
+ | bind_policy soft | ||
+ | |||
+ | # password modify extended operation (RFC 3062) | ||
+ | pam_password exop | ||
+ | |||
+ | # Suchfilter für PAM | ||
+ | pam_filter objectclass=posixAccount | ||
+ | |||
+ | Weitere Optionen sind zu finden in | ||
+ | man 5 pam_ldap | ||
Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600). | Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600). | ||
Zeile 34: | Zeile 47: | ||
$ diff common-session.orig common-session | $ diff common-session.orig common-session | ||
> session required pam_mkhomedir.so skel=/etc/skel umask=0022 | > session required pam_mkhomedir.so skel=/etc/skel umask=0022 | ||
+ | |||
+ | Das Homeverzeichnis wird durch ''pam_mkhomedir'' beim ersten Anmelden erzeugt. | ||
+ | Die Änderung des im LDAP gespeicherten Passworts ist durch PAM ganz normal mit ''passwd'' möglich. |
Aktuelle Version vom 30. Januar 2011, 13:29 Uhr
PAM-LDAP wird über /etc/pam_ldap.conf konfiguriert. Die benötigten Informationen wurden bereits während der Installation erfragt
base dc=debian,dc=local uri ldap://127.0.0.1/ ldap_version 3 rootbinddn cn=admin,dc=debian,dc=local pam_password crypt
Hier können noch folgende Direktiven ergänzt werden:
# erzwingt sofortige Rückmeldung bei Fehlern auf der Serverseite bind_policy soft # password modify extended operation (RFC 3062) pam_password exop # Suchfilter für PAM pam_filter objectclass=posixAccount
Weitere Optionen sind zu finden in
man 5 pam_ldap
Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600).
Damit PAM LDAP an den entsprechenden Stellen einbezieht müssen unter /etc/pam.d/ noch einige Dateien angepaßt werden:
$ diff common-account.orig common-account < account required pam_unix.so --- > account [success=1 default=ignore] pam_unix.so > account required pam_ldap.so > account required pam_permit.so
$ diff common-auth.orig common-auth < auth required pam_unix.so nullok_secure --- > auth [success=1 default=ignore] pam_unix.so > auth required pam_ldap.so use_first_pass > auth required pam_permit.so
$ diff common-password.orig common-password < password required pam_unix.so nullok obscure md5 --- > password sufficient pam_unix.so md5 obscure min=4 max=8 nullok try_first_pass > password sufficient pam_ldap.so > password required pam_deny.so
$ diff common-session.orig common-session > session required pam_mkhomedir.so skel=/etc/skel umask=0022
Das Homeverzeichnis wird durch pam_mkhomedir beim ersten Anmelden erzeugt. Die Änderung des im LDAP gespeicherten Passworts ist durch PAM ganz normal mit passwd möglich.