PAM-LDAP

Aus ConfigWiki
Wechseln zu: Navigation, Suche

PAM-LDAP wird über /etc/pam_ldap.conf konfiguriert. Die benötigten Informationen wurden bereits während der Installation erfragt

base dc=debian,dc=local
uri ldap://127.0.0.1/
ldap_version 3
rootbinddn cn=admin,dc=debian,dc=local
pam_password crypt

Hier können noch folgende Direktiven ergänzt werden:

# erzwingt sofortige Rückmeldung bei Fehlern auf der Serverseite
bind_policy soft

# password modify extended operation (RFC 3062)
pam_password exop

# Suchfilter für PAM
pam_filter   objectclass=posixAccount

Weitere Optionen sind zu finden in

man 5 pam_ldap

Das Passwort für den LDAP-Login steht in /etc/pam_ldap.secret und sollte nur von root lesbar sein (mode 600).

Damit PAM LDAP an den entsprechenden Stellen einbezieht müssen unter /etc/pam.d/ noch einige Dateien angepaßt werden:

$ diff common-account.orig common-account
< account	required	pam_unix.so
---
> account	[success=1 default=ignore]	pam_unix.so
> account	required	pam_ldap.so
> account	required	pam_permit.so
$ diff common-auth.orig common-auth
< auth	required	pam_unix.so nullok_secure
---
> auth	[success=1 default=ignore]	pam_unix.so
> auth	required	pam_ldap.so use_first_pass
> auth	required	pam_permit.so
$ diff common-password.orig common-password
< password   required   pam_unix.so nullok obscure md5
---
> password	sufficient	pam_unix.so md5 obscure min=4 max=8 nullok try_first_pass
> password	sufficient	pam_ldap.so
> password	required	pam_deny.so
$ diff common-session.orig common-session
> session	required	pam_mkhomedir.so skel=/etc/skel umask=0022

Das Homeverzeichnis wird durch pam_mkhomedir beim ersten Anmelden erzeugt. Die Änderung des im LDAP gespeicherten Passworts ist durch PAM ganz normal mit passwd möglich.

Meine Werkzeuge