LDAP, Samba & Root

07/09/2007 - 17:02 von Maros Kollar | Report spam
Hallo!

ist zwar keine Samba Frage, aber da ich keine bessere Newsgroup zu dem
Thema kenne poste ich mal hier:

Gestern habe ich einen PDC Samba Server (Debian Etch, also Version
3.0.24-6) auf LDAP Authentifizierung umgestellt. Die Umstellung hat
eigentlich ganz gut geklappt, bis auf dem unerfreulichen Umstand dass
jetzt das System auch den Root Benutzer über LDAP authentifizieren will.
Wenn der LDAP Server steht oder kein root im Directory eingetragen ist
kann man sich nicht als selbiger anmelden (außer über SSH Keys).

Gewünscht ist dass zuerst die Benutzer in /etc/passwd geprüft werden,
und dann erst LDAP (sprich selbst wenn ein root User im Directory ist
sollte dieser ignoriert werden, bzw. will ich ja auch noch in den Server
reinkommen wenn LDAP steht)

Hier ein paar Auszüge aus diversen Dateien:

# /etc/nsswitch.conf
passwd: compat ldap
shadow: compat ldap
group: compat ldap

# /etc/pam.d/common-auth
auth required pam_unix.so nullok_secure
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so

# /etc/pam.d/common-session
session required pam_unix.so
session optional pam_ldap.so

# /etc/pam.d/common-password
password required pam_unix.so nullok obscure min=4 max=8 md5
password sufficient pam_ldap.so use_authtok
password required pam_deny.so

# /etc/pam.d/common-account
account required pam_unix.so
account sufficient pam_ldap.so


Zum Abschluss doch noch eine kurze Samba Frage ;-)

Abgesehen vom PDC habe ich zwei weitere Samba Server die Zugriffe über
Winbind authentifizieren. Muss bzw. soll ich im Zuge der LDAP Umstellung
dort was àndern?

Beste Grüße
Maroš
 

Lesen sie die antworten

#1 Carsten Dumke
09/09/2007 - 21:54 | Warnen spam
Maros Kollar wrote in
news:cf4b8$46e1677a$5471d63d$:

Hallo!

ist zwar keine Samba Frage, aber da ich keine bessere
Newsgroup zu dem Thema kenne poste ich mal hier:

Gestern habe ich einen PDC Samba Server (Debian Etch, also
Version 3.0.24-6) auf LDAP Authentifizierung umgestellt.
Die Umstellung hat eigentlich ganz gut geklappt, bis auf
dem unerfreulichen Umstand dass jetzt das System auch den
Root Benutzer über LDAP authentifizieren will. Wenn der
LDAP Server steht oder kein root im Directory eingetragen
ist kann man sich nicht als selbiger anmelden (außer über
SSH Keys).

Gewünscht ist dass zuerst die Benutzer in /etc/passwd
geprüft werden, und dann erst LDAP (sprich selbst wenn ein
root User im Directory ist sollte dieser ignoriert werden,
bzw. will ich ja auch noch in den Server
reinkommen wenn LDAP steht)

Hier ein paar Auszüge aus diversen Dateien:

# /etc/nsswitch.conf
passwd: compat ldap
shadow: compat ldap
group: compat ldap

# /etc/pam.d/common-auth
auth required pam_unix.so nullok_secure
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so

# /etc/pam.d/common-session
session required pam_unix.so
session optional pam_ldap.so

# /etc/pam.d/common-password
password required pam_unix.so nullok obscure min=4
max=8 md5 password sufficient pam_ldap.so use_authtok
password required pam_deny.so

# /etc/pam.d/common-account
account required pam_unix.so
account sufficient pam_ldap.so




Das Problem ist, dass beim (ssh-)Login auch die Gruppen des
Users via PAM (lokal+ldap) aufgelöst werden.

Es gibt ein Paper von Martin Schwenke dazu:
http://meltin.net/people/martin/pub...enepam.pdf


Bei OpenSuSE 10.2 ist ein nss_ldap dabei (nss_ldap-253-
19.1.i586.rpm), dem man in der Konfiguration User mitgeben
kann, die nur lokal aufgelöst werden sollen (z.B. root, ldap).
Zusàtzlich sollte noch die Bind-Policy umgestellt werden
(alles in /etc/ldap.conf):

nss_initgroups_ignoreusers root,ldap
bind_policy soft
bind_timelimit 15


Ob das alles bei Deinem Debian dabei ist, weiß ich leider
nicht.

HTH.

Ciao,

Carsten

Ähnliche fragen