PAM-LDAP
Aus ConfigWiki
(Unterschied zwischen Versionen)
(Eine dazwischenliegende Version von einem Benutzer wird nicht angezeigt) | |||
Zeile 6: | Zeile 6: | ||
rootbinddn cn=admin,dc=debian,dc=local | rootbinddn cn=admin,dc=debian,dc=local | ||
pam_password crypt | pam_password crypt | ||
+ | |||
+ | Hier können noch folgende Direktiven ergänzt werden: | ||
+ | # erzwingt sofortige Rückmeldung bei Fehlern auf der Serverseite | ||
+ | bind_policy soft | ||
+ | |||
+ | # password modify extended operation (RFC 3062) | ||
+ | pam_password exop | ||
+ | |||
+ | # Suchfilter für PAM | ||
+ | pam_filter objectclass=posixAccount | ||
+ | |||
+ | Weitere Optionen sind zu finden in | ||
+ | man 5 pam_ldap | ||
Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600). | Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600). |
Aktuelle Version vom 30. Januar 2011, 13:29 Uhr
PAM-LDAP wird über /etc/pam_ldap.conf konfiguriert. Die benötigten Informationen wurden bereits während der Installation erfragt
base dc=debian,dc=local uri ldap://127.0.0.1/ ldap_version 3 rootbinddn cn=admin,dc=debian,dc=local pam_password crypt
Hier können noch folgende Direktiven ergänzt werden:
# erzwingt sofortige Rückmeldung bei Fehlern auf der Serverseite bind_policy soft # password modify extended operation (RFC 3062) pam_password exop # Suchfilter für PAM pam_filter objectclass=posixAccount
Weitere Optionen sind zu finden in
man 5 pam_ldap
Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600).
Damit PAM LDAP an den entsprechenden Stellen einbezieht müssen unter /etc/pam.d/ noch einige Dateien angepaßt werden:
$ diff common-account.orig common-account < account required pam_unix.so --- > account [success=1 default=ignore] pam_unix.so > account required pam_ldap.so > account required pam_permit.so
$ diff common-auth.orig common-auth < auth required pam_unix.so nullok_secure --- > auth [success=1 default=ignore] pam_unix.so > auth required pam_ldap.so use_first_pass > auth required pam_permit.so
$ diff common-password.orig common-password < password required pam_unix.so nullok obscure md5 --- > password sufficient pam_unix.so md5 obscure min=4 max=8 nullok try_first_pass > password sufficient pam_ldap.so > password required pam_deny.so
$ diff common-session.orig common-session > session required pam_mkhomedir.so skel=/etc/skel umask=0022
Das Homeverzeichnis wird durch pam_mkhomedir beim ersten Anmelden erzeugt. Die Änderung des im LDAP gespeicherten Passworts ist durch PAM ganz normal mit passwd möglich.