Форум русскоязычного сообщества Ubuntu


Автор Тема: Ubuntu-server LDAP PAM  (Прочитано 3918 раз)

0 Пользователей и 1 Гость просматривают эту тему.

100РОЖ

  • Автор темы
  • Гость
Ubuntu-server LDAP PAM
« : 21 Октябрь 2008, 20:19:44 »
Задача развернуть единую систему авторизации и аутентификации в сети из компьютеров под управлением ubuntu 8.04.1. Для этого я по Мануалу развернул сервер и настроил клиент. Единственное, чего добился - при авторизации в системе меня сначала спрашивают логин, потом пароль, потом лдап пароль. Если лдап пароль не совпадает с локальным паролем, то авторизация не проходит. Куда копать, что смотреть, как добавлять пользователей в лдап и как прикручивать клиентскую авторицацию к лдап-серверу?

Оффлайн Steel_Cat

  • Новичок
  • *
  • Сообщений: 10
  • Ubuntu 10.10 Netbook Edition
    • Просмотр профиля
Re: Ubuntu-server LDAP PAM
« Ответ #1 : 20 Ноябрь 2008, 17:31:01 »
Если еще актуально...

Цитировать
Если лдап пароль не совпадает с локальным паролем, то авторизация не проходит.
На эту тему надо бы посмотреть настройки PAM: в /etc/pam.d/ 4 файла: common-auth, common-password, common-session и common-account
Весьма важна последовательность строк в них...

еще хотелось бы увидеть /etc/nsswitch.conf и сам /etc/ldap.conf тоже

Вообще очень хорошая статья на эту тему есть вот здесь
В ней правда в качестве LDAP выступает Windows AD. Но не в ней суть. Настройка клиентских машин показана правильно.
В частности у меня при этих параметрах клиентские машины под Ubuntu и OpenSUSE стали авторизовать юзеров из домена Windows на ура.
Никаких дополнительных паролей не спрашивается при этом. Вводишь доменное имя юзера, его пароль - и вуаля !

По поводу сервера OpenLDAP пока ничего не могу сказать тебе :) Не щупал, не знаю...
-= The Stainless Steel Cat =-

100РОЖ

  • Автор темы
  • Гость
Re: Ubuntu-server LDAP PAM
« Ответ #2 : 21 Ноябрь 2008, 08:19:38 »
Спасибо, дойду домой, где у меня всё на виртуалках тестируется, выложу конфиги.

100РОЖ

  • Автор темы
  • Гость
Re: Ubuntu-server LDAP PAM
« Ответ #3 : 16 Январь 2009, 10:28:56 »
Цитата: 'Steel_Cat'
На эту тему надо бы посмотреть настройки PAM: в /etc/pam.d/ 4 файла: common-auth, common-password, common-session и common-account
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass
##common-password
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5
#ssword sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5

# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system.  The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
account sufficient pam_ldap.so
account required        pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel/ silent
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
Это всё с клиента. ldapsearch -x -b dc=example,dc=local на сервере выводит информацию обо всех пользователях и группах портированных из системы.

100РОЖ

  • Автор темы
  • Гость
Re: Ubuntu-server LDAP PAM
« Ответ #4 : 21 Январь 2009, 09:57:46 »
Добился, чтобы getent passwd выдавал среди прочего пользователей из LDAP. Однако в pam.d *-auth настроить корректно не могу, чтобы su ldap_user запрашивало пароль и  пускало в систему. Сейчас так $ su s.kibardin
Пароль:
su: Служба аутентификации не может получить информацию аутентификации
После этого нашёл рабочую инструкцию, адаптированную под новую версию LDAP клиента. В гноме авторизация проходит, в консоли нет. ссылка на качественную инструкцию
« Последнее редактирование: 21 Январь 2009, 13:00:10 от 100РОЖ »

 

Страница сгенерирована за 0.051 секунд. Запросов: 23.