[Comm] LDAP Samba PAM
BSW
=?iso-8859-1?q?bsw71_=CE=C1_mail=2Eru?=
Вт Июл 22 14:49:44 MSD 2003
Dmitriy Gnidchenko пишет:
> Так тогда какую функцию несет pam_pdap ?
Давай отделять мух от котлет:
PAM (Pluggable Authentication Modules) - проверка полномочий
пользователя (man pam за подробностями), но не факта его существования.
> я предпологал ранее, что nsswitch.conf ипсользуется уже самой
> системой для поиска способа аутентификации пользователя.
NSS (Name Service Switch; man nsswitch.conf) позволяет выбрать базу, в
которой хранится информация о юзерах. К PAM не имеет никакого отношения,
это два совершенно разных и независимых механизма, что, тем не менее, не
запрещает одному пользоваться другим. Например, Линуховый pam_tcb знает
(пусть и косвенно) о nsswitch.conf, а вот во FreeBSD 4.x понятие об
nsswitch.conf отсутствует, что не мешает использовать PAM.
У меня в /etc/pam.d/* ldap не упомянут ни разу, но я его успешно
использую. Ни что и ни кто не запрещает мне хранить юзеров в LDAP, а их
пароли - в NT-домене, или даже на пластике...
>
> то есть сервис (Samba, POP3 и тд) использует для этих целей
> библиотеки PAM, а PAM в зависимости от выбранного модуля ищет
> авторизация в системной базе (passwd tcb shadow) или прямо
> минуя эту цепочку (pam_radius, pam_ldap) может обратися к Radius
> или к тойже LDAP
>
> в то же время при стандарном использовании PAM как это идет в
> дистрибутиве я могу исправить nsswitch.conf так чтобы все запросы
> для авторизации будут уже не локальными, а на некий сервер как
> это делает NIS.
Примерно так...
Приложение запрашивает у системы данные о юзере, система смотрит в
nsswitch, и лезет в ... (куда написано). Затем приложение отдает системе
пароль для проверки, система смотрит в PAM, и отдает пароль на
растерзание указанному модулю. Модуль может (но не обязан) посмотреть в
nsswitch, и взять пароль из ..., но может и не смотреть, а сразу пойти в
ему одному известное место.
Надеюсь, я достаточно непонятно излагаю? :-)
Подробная информация о списке рассылки community