Warum funktioniert pam_ldap?

05/05/2010 - 19:57 von Paul Muster | Report spam
Hallo,


ich habe einen LDAP-Server laufen, in dem die User und Gruppen
eingepflegt sind. Auf einem anderen Server ("ldap-client") habe ich
libnss-ldap und libpam-ldap installiert und konfiguriert. An der
eigentlichen PAM-Konfiguration dieses Servers habe ich dabei aber nichts
geàndert. Dennoch können sich die User aus dem LDAP-Verzeichnis
anmelden. Warum?

ldap-client:/etc/pam.d# grep -v "^#" common-*
common-account:account required pam_unix.so
common-auth:auth required pam_unix.so nullok_secure
common-password:password required pam_unix.so nullok obscure md5
common-session:session required pam_unix.so

ldap-client:/etc# grep -v "^#" pam_ldap.conf
base <BASE>
uri ldap://ldap-server/
ldap_version 3
rootbinddn cn=admin,<BASE>
pam_password crypt

ldap-client:/etc# grep -v "^#" ./ldap/ldap.conf

(ist leer bzw. alles auskommentiert)

Ich hàtte erwartet, PAM auf dem LDAP-Client erstmal erklàren zu müssen,
dass es LDAP nutzen soll. Das ist auch auf
http://openbook.galileocomputing.de...fd26d3a907
(unten, unter "Verschiedene Dienstklassen") und in diversen anderen
Quellen so erklàrt.

NSS funktioniert ordentlich, das passt. Warum aber funktioniert auch
PAM, obwohl es eigentlich noch nicht sollte?


Danke & viele Grüße

Paul
 

Lesen sie die antworten

#1 Marcus Jodorf
05/05/2010 - 20:39 | Warnen spam
Paul Muster schrieb:

ich habe einen LDAP-Server laufen, in dem die User und Gruppen
eingepflegt sind. Auf einem anderen Server ("ldap-client") habe ich
libnss-ldap und libpam-ldap installiert und konfiguriert. An der
eigentlichen PAM-Konfiguration dieses Servers habe ich dabei aber
nichts geàndert. Dennoch können sich die User aus dem LDAP-Verzeichnis
anmelden. Warum?



Weil nss quasi eine Ebene unter PAM làuft und Du bei PAM pam_unix
verwendest - was dann letzlich eine Ebene tiefer nss verwendet.
Hast Du also nss konfiguriert, dann làuft das von oben nach unten
im Groben etwa so: PAM->pam_unix->nss(libnss-ldap)

Ich hàtte erwartet, PAM auf dem LDAP-Client erstmal erklàren zu
müssen, dass es LDAP nutzen soll.



Du hast PAM erklàrt, daß es pam_unix benutzen soll. Das arbeitet über
nss. Wenn nss noch weiß, daß es ldap verwenden kann, dann schließt sich
damit der Kreis.

NSS funktioniert ordentlich, das passt. Warum aber funktioniert auch
PAM, obwohl es eigentlich noch nicht sollte?



Weil PAM hier wiederum nss verwendet.

Gruß,

Marcus

Ähnliche fragen