[Comm] LDAP Samba PAM

[BSW]

Dmitriy Gnidchenko пишет:
> Так тогда какую функцию несет pam_pdap ?
Давай отделять мух от котлет:
PAM (Pluggable Authentication Modules) - проверка полномочий 
пользователя (man pam за подробностями), но не факта его существования.

> я предпологал ранее, что nsswitch.conf ипсользуется уже самой
> системой для поиска способа аутентификации пользователя.
NSS (Name Service Switch; man nsswitch.conf) позволяет выбрать базу, в 
которой хранится информация о юзерах. К PAM не имеет никакого отношения, 
это два совершенно разных и независимых механизма, что, тем не менее, не 
запрещает одному пользоваться другим. Например, Линуховый pam_tcb знает 
(пусть и косвенно) о nsswitch.conf, а вот во FreeBSD 4.x понятие об 
nsswitch.conf отсутствует, что не мешает использовать PAM.
У меня в /etc/pam.d/* ldap не упомянут ни разу, но я его успешно 
использую. Ни что и ни кто не запрещает мне хранить юзеров в LDAP, а их 
пароли - в NT-домене, или даже на пластике...

> 
> то есть сервис (Samba, POP3 и тд) использует для этих целей
> библиотеки PAM, а PAM в зависимости от выбранного модуля ищет
> авторизация в системной базе (passwd tcb shadow) или прямо
> минуя эту цепочку (pam_radius, pam_ldap) может обратися к Radius
> или к тойже LDAP
> 
> в то же время при стандарном использовании PAM как это идет в
> дистрибутиве я могу исправить nsswitch.conf так чтобы все запросы
> для авторизации будут уже не локальными, а на некий сервер как
> это делает NIS.
Примерно так...

Приложение запрашивает у системы данные о юзере, система смотрит в 
nsswitch, и лезет в ... (куда написано). Затем приложение отдает системе 
пароль для проверки, система смотрит в PAM, и отдает пароль на 
растерзание указанному модулю. Модуль может (но не обязан) посмотреть в 
nsswitch, и взять пароль из ..., но может и не смотреть, а сразу пойти в 
ему одному известное место.

Надеюсь, я достаточно непонятно излагаю? :-)