LDAP-Auth unter Beruecksichtigung von pam_check_host_attr

13/11/2008 - 14:49 von Thorsten Tüllmann | Report spam
Hi,

mich ueberfordert die Konfiguration von pam_ldap, so dass das
Host-Attribut beim Einloggen beruecksichtigt wird.

Distribution ist ein Debian Lenny.

Nach vielem Gemurkse wird mir langsam das Zusammenspiel von NSS und PAM
klarer und ich bin zu folgender Konfiguration gekommen:

nsswitch.conf:
-snip-
passwd: files ldap
group: files ldap
shadow: files
[...]
snap--


/etc/pam.d/common-auth:
snip--
auth [success=1 default=ignore] pam_unix.so nullok_secure
auth required pam_ldap.so use_first_pass
auth required pam_permit.so
snap--


/etc/pam.d/common-account:
snip--
account [success=1 default=ignore] pam_unix.so
account [success=ok new_authtok_reqd=ok perm_denied=bad default=bad]
pam_ldap.so
account required pam_permit.so
snap--

/etc/pam.d/common-session:
snip--
session [success=1 default=ignore] pam_unix.so
session [success=ok new_authtok_reqd=ok perm_denied=bad default=bad]
pam_ldap.so
session required pam_permit.so
snap--

/etc/ldap/pam_ldap.conf enthaelt pam_check_host_attr yes und trotzdem
wird es munter ignoriert...

Jemand eine Idee?

TIA,
Thorsten
 

Lesen sie die antworten

#1 Thorsten Tüllmann
14/11/2008 - 11:13 | Warnen spam
Thorsten Tüllmann schrieb:
Jemand eine Idee?



Ich mach dann mal die Ingrid. Offenbar ist das Problem eine weitere
Folge der neverending story "GNUtls muss sterben und das am Besten gestern".

<rant>
Schön, dass ich jetzt zum zweiten Mal in die Problematik laufe, dass
Debian OpenLDAP gegen GNUtls baut, ohne zu dokumentieren, welche
Konfigurationsoptionen nicht funktionieren.

Macht aber nix, nach zwei Tagen strace und Quellcode-Lesen sieht man,
dass die Manpages zu pam_ldap(5), libnss-ldap.conf(5) und ldap.conf(5)
allesamt falsch sind.

Also entweder man macht LDAP ohne SSL / StartTLS oder man baut sein
OpenLDAP besser gleich selbst.
</rant>

ciao,
Thorsten

Ähnliche fragen