[Comm] LDAP Samba PAM

[BSW]

Dmitriy Gnidchenko пишет:
> Тут непонятно, если нет факта его существования, то о каких
> полномочиях идет речь ?
Нет юзера - нет проблемы :-)
Вот потому-то юзер и должен быть прописан в системе. PAM - только пароли.

> Я тогда вообще зачем нужен PAM_LDAP
> 
> (насколько я уверен он и должен был задействован в
> /etc/pam.d/*)
> 
> если можно использовать nsswitch
Опять мухи и котлеты:
Начнет с начала: все по дефолту. Юзера в /etc/passwd, группы - 
/etc/group, пароли - /etc/shadow.

Теперь прикрутим pam_ldap: юзера и группы остались на месте, но пароли 
проверяются в ldap-е (модулем pam_ldap).

Вернем назад настройки PAM, и напишем в nsswitch.conf:
passwd: ldap
shadow: ldap
group:  ldap
Теперь система ничего не знает о /etc/passwd, shadow, group. Все лежит в 
LDAP (см. libnss_ldap.so). Однако pam_ldap не нужен, его работу делает 
связка pam_tcb (или pam_unix, или кто там по дефолту) и libnss_ldap.

Оставим nsswitch.conf как есть (с ldap-ом), и прикрутим, например, 
pam_nologin. Юзера сотрут себе пальцы вбивая пароли, но... NO PASSARAN! 
Хотя все пароли правильные :-)
(во время опытов не забывай держать активной хотя бы одну рутовую 
сессию, иначе и сам не пройдешь...)

> то есть данные о пользователе ни как не преплетаются при
> использовании PAM они как были отдельно так и остались.
Именно так. В свое время я чуть не повесился пытаясь заставить Самбу на 
FreeBSD брать юзеров из PAM. :-)

> то есть в любом случае надо еще задействовать и nsswitch
Ммм... Он задействован в любом случае. Важно чтобы его содержимое 
соответствовало реальному размещению базы юзеров, а будет это 
/etc/passwd или ldap - не так уж и важно.

Надеюсь, я достаточно непонятно излагаю? :-)