PAM-LDAP
Aus ConfigWiki
PAM-LDAP wird über /etc/pam_ldap.conf konfiguriert. Die benötigten Informationen wurden bereits während der Installation erfragt
base dc=debian,dc=local uri ldap://127.0.0.1/ ldap_version 3 rootbinddn cn=admin,dc=debian,dc=local pam_password crypt
Hier können noch folgende Direktiven ergänzt werden:
# erzwingt sofortige Rückmeldung bei Fehlern auf der Serverseite bind_policy soft # password modify extended operation (RFC 3062) pam_password exop # Suchfilter für PAM pam_filter objectclass=posixAccount
Weitere Optionen sind zu finden in
man 5 pam_ldap
Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600).
Damit PAM LDAP an den entsprechenden Stellen einbezieht müssen unter /etc/pam.d/ noch einige Dateien angepaßt werden:
$ diff common-account.orig common-account < account required pam_unix.so --- > account [success=1 default=ignore] pam_unix.so > account required pam_ldap.so > account required pam_permit.so
$ diff common-auth.orig common-auth < auth required pam_unix.so nullok_secure --- > auth [success=1 default=ignore] pam_unix.so > auth required pam_ldap.so use_first_pass > auth required pam_permit.so
$ diff common-password.orig common-password < password required pam_unix.so nullok obscure md5 --- > password sufficient pam_unix.so md5 obscure min=4 max=8 nullok try_first_pass > password sufficient pam_ldap.so > password required pam_deny.so
$ diff common-session.orig common-session > session required pam_mkhomedir.so skel=/etc/skel umask=0022
Das Homeverzeichnis wird durch pam_mkhomedir beim ersten Anmelden erzeugt. Die Änderung des im LDAP gespeicherten Passworts ist durch PAM ganz normal mit passwd möglich.