[Comm] LDAP Samba PAM

Dmitriy Gnidchenko =?iso-8859-1?q?savithur_=CE=C1_avatar=2Espb=2Eru?=
Вт Июл 22 17:31:37 MSD 2003 

On Tue, 22 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
> > Тут непонятно, если нет факта его существования, то о каких
> > полномочиях идет речь ?
> Нет юзера - нет проблемы :-)

:)))

> Вот потому-то юзер и должен быть прописан в системе. PAM -
> только пароли.


> > если можно использовать nsswitch
> Опять мухи и котлеты:
:)))

> Начнет с начала: все по дефолту. Юзера в /etc/passwd, группы -
> /etc/group, пароли - /etc/shadow.
>
> Теперь прикрутим pam_ldap: юзера и группы остались на месте,
> но пароли
> проверяются в ldap-е (модулем pam_ldap).


> Вернем назад настройки PAM, и напишем в nsswitch.conf:
> passwd: ldap
> shadow: ldap
> group:  ldap


> Теперь система ничего не знает о /etc/passwd, shadow, group.
> Все лежит в
> LDAP (см. libnss_ldap.so). Однако pam_ldap не нужен, его
> работу делает
> связка pam_tcb (или pam_unix, или кто там по дефолту) и
> libnss_ldap.
А...
у меня небыло установлено модуля libnss_ldap,
из-за этого тоже ступор был.

Сейчас поставил и прикрутил в nsswitch

passwd:     files ldap nisplus nis

Не знаю группы задействовать или нет, но пока изменил только эту
запись.

Теперь уже ругани по поводу  smbpasswd -a user нет.
так как узер имеется в ldap базе.
и соответственно добавляет узера к себе в базу.
10х с этим разобрались.

Теперь по поводу /etc/samba/smbpasswd

Самба при любом раскладе проверяет пароль пользователя в smbpasswd

Теперь исходя из PAM она должна его запрашивать из LDAP ?
так как модуль уже там прописан.



> Оставим nsswitch.conf как есть (с ldap-ом), и прикрутим,
> например,
> pam_nologin. Юзера сотрут себе пальцы вбивая пароли, но... NO
> PASSARAN!
> Хотя все пароли правильные :-)

:о)

> (во время опытов не забывай держать активной хотя бы одну
> рутовую
> сессию, иначе и сам не пройдешь...)

Так и делаю.
Одну консоль подальше засунул.

> > то есть данные о пользователе ни как не преплетаются при
> > использовании PAM они как были отдельно так и остались.
> Именно так. В свое время я чуть не повесился пытаясь заставить
> Самбу на
> FreeBSD брать юзеров из PAM. :-)

Приблизительно у меня получаеся сейчас также :))

> > то есть в любом случае надо еще задействовать и nsswitch

> Ммм... Он задействован в любом случае. Важно чтобы его
> содержимое
> соответствовало реальному размещению базы юзеров, а будет это
> /etc/passwd или ldap - не так уж и важно.




> Надеюсь, я достаточно непонятно излагаю? :-)


Котлеты и мухи в разных кастрюлях :)

Подробная информация о списке рассылки community