PAM-LDAP
Aus ConfigWiki
(Unterschied zwischen Versionen)
| (2 dazwischenliegende Versionen von einem Benutzer werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
PAM-LDAP wird über /etc/pam_ldap.conf konfiguriert. Die benötigten Informationen wurden bereits während der Installation erfragt | PAM-LDAP wird über /etc/pam_ldap.conf konfiguriert. Die benötigten Informationen wurden bereits während der Installation erfragt | ||
| − | base dc= | + | base dc=debian,dc=local |
uri ldap://127.0.0.1/ | uri ldap://127.0.0.1/ | ||
ldap_version 3 | ldap_version 3 | ||
| − | rootbinddn cn=admin,dc= | + | rootbinddn cn=admin,dc=debian,dc=local |
pam_password crypt | pam_password crypt | ||
| + | |||
| + | Hier können noch folgende Direktiven ergänzt werden: | ||
| + | # erzwingt sofortige Rückmeldung bei Fehlern auf der Serverseite | ||
| + | bind_policy soft | ||
| + | |||
| + | # password modify extended operation (RFC 3062) | ||
| + | pam_password exop | ||
| + | |||
| + | # Suchfilter für PAM | ||
| + | pam_filter objectclass=posixAccount | ||
| + | |||
| + | Weitere Optionen sind zu finden in | ||
| + | man 5 pam_ldap | ||
Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600). | Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600). | ||
Aktuelle Version vom 30. Januar 2011, 13:29 Uhr
PAM-LDAP wird über /etc/pam_ldap.conf konfiguriert. Die benötigten Informationen wurden bereits während der Installation erfragt
base dc=debian,dc=local uri ldap://127.0.0.1/ ldap_version 3 rootbinddn cn=admin,dc=debian,dc=local pam_password crypt
Hier können noch folgende Direktiven ergänzt werden:
# erzwingt sofortige Rückmeldung bei Fehlern auf der Serverseite bind_policy soft # password modify extended operation (RFC 3062) pam_password exop # Suchfilter für PAM pam_filter objectclass=posixAccount
Weitere Optionen sind zu finden in
man 5 pam_ldap
Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600).
Damit PAM LDAP an den entsprechenden Stellen einbezieht müssen unter /etc/pam.d/ noch einige Dateien angepaßt werden:
$ diff common-account.orig common-account < account required pam_unix.so --- > account [success=1 default=ignore] pam_unix.so > account required pam_ldap.so > account required pam_permit.so
$ diff common-auth.orig common-auth < auth required pam_unix.so nullok_secure --- > auth [success=1 default=ignore] pam_unix.so > auth required pam_ldap.so use_first_pass > auth required pam_permit.so
$ diff common-password.orig common-password < password required pam_unix.so nullok obscure md5 --- > password sufficient pam_unix.so md5 obscure min=4 max=8 nullok try_first_pass > password sufficient pam_ldap.so > password required pam_deny.so
$ diff common-session.orig common-session > session required pam_mkhomedir.so skel=/etc/skel umask=0022
Das Homeverzeichnis wird durch pam_mkhomedir beim ersten Anmelden erzeugt. Die Änderung des im LDAP gespeicherten Passworts ist durch PAM ganz normal mit passwd möglich.
