Ubuntu-server LDAP PAM

[100РОЖ]

Задача развернуть единую систему авторизации и аутентификации в сети из компьютеров под управлением ubuntu 8.04.1. Для этого я по Мануалу развернул сервер и настроил клиент. Единственное, чего добился - при авторизации в системе меня сначала спрашивают логин, потом пароль, потом лдап пароль. Если лдап пароль не совпадает с локальным паролем, то авторизация не проходит. Куда копать, что смотреть, как добавлять пользователей в лдап и как прикручивать клиентскую авторицацию к лдап-серверу?

[Steel_Cat]

Если еще актуально...

Если лдап пароль не совпадает с локальным паролем, то авторизация не проходит.

На эту тему надо бы посмотреть настройки PAM: в /etc/pam.d/ 4 файла: common-auth, common-password, common-session и common-account
Весьма важна последовательность строк в них...

еще хотелось бы увидеть /etc/nsswitch.conf и сам /etc/ldap.conf тоже

Вообще очень хорошая статья на эту тему есть вот здесь
В ней правда в качестве LDAP выступает Windows AD. Но не в ней суть. Настройка клиентских машин показана правильно.
В частности у меня при этих параметрах клиентские машины под Ubuntu и OpenSUSE стали авторизовать юзеров из домена Windows на ура.
Никаких дополнительных паролей не спрашивается при этом. Вводишь доменное имя юзера, его пароль - и вуаля !

По поводу сервера OpenLDAP пока ничего не могу сказать тебе Не щупал, не знаю...

[100РОЖ]

Спасибо, дойду домой, где у меня всё на виртуалках тестируется, выложу конфиги.

[100РОЖ]

На эту тему надо бы посмотреть настройки PAM: в /etc/pam.d/ 4 файла: common-auth, common-password, common-session и common-account

Код: [Выделить]

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass

Код: [Выделить]

##common-password
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5


Код: [Выделить]

#ssword sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5

# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system.  The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
account sufficient pam_ldap.so
account required        pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel/ silent

Код: [Выделить]

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
Это всё с клиента. ldapsearch -x -b dc=example,dc=local на сервере выводит информацию обо всех пользователях и группах портированных из системы.

[100РОЖ]

Добился, чтобы getent passwd выдавал среди прочего пользователей из LDAP. Однако в pam.d *-auth настроить корректно не могу, чтобы su ldap_user запрашивало пароль и  пускало в систему. Сейчас так

Код: [Выделить]

$ su s.kibardin
Пароль:
su: Служба аутентификации не может получить информацию аутентификации
После этого нашёл рабочую инструкцию, адаптированную под новую версию LDAP клиента. В гноме авторизация проходит, в консоли нет. ссылка на качественную инструкцию