PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LDAP: Problem mit pam.d/system-auth



Blackhawk
14.02.07, 13:51
Hallo Forum,

ich habe folgendes Problem:

Ich moechte auf einem Rechner fuer lokale Accounts erlauben, dass die sich ohne Anfrage an den LDAP-Server authentifizieren koennen. Leider klappt das nicht, wenn zum Beispiel ein Passwort auf dem LDAP abgelaufen ist, kann ich mich nicht anmelden, auch wenn das Passwort auf Unix noch gueltig waere.

Hier meine /etc/pam.d/system-auth:


auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so

account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so
account required /lib/security/$ISA/pam_permit.so

password requisite /lib/security/$ISA/pam_cracklib.so retry=3
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok shadow
password sufficient /lib/security/$ISA/pam_ldap.so use_authtok
password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
session optional /lib/security/$ISA/pam_ldap.so

emba
16.02.07, 17:18
haelst du nutzer in beiden backends vor, oder kann ein nutzer nur in einem backend sein (ldap, lokal)?

greez

Blackhawk
17.02.07, 09:38
das prolem tritt nur fuer nutzer auf, die in beiden sind. da soll die lokale passwd vorgehen... und das klappt nicht

BedriddenTech
18.02.07, 15:19
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so
Ich kenne mich mit dem neueren PAM-Syntax nicht aus, deswegen erscheint mir die Zeile eher suspekt - was passiert, wenn du das einfach auf "sufficient" setzt?

Blackhawk
19.02.07, 11:02
@BedriddenTech: Das bringt auch keine Aenderung.

Wenn man unter LDAP und passwd verschiedene Passworte hat, kann man sich uebrigens mit jedem der beiden anmelden.

emba
19.02.07, 12:55
wenn du dir eine eigene login datei strickst, die zunächst pam_unix via sufficient erlaubt, danach pam_ldap sollte dein szenario eigentlich abbildbar sein

greez