flagflag  
Table of contents

pam_ldap anchor.png

Page Top

config anchor.png

  • authconfig, authconfig-uti コマンドでデフォルトの設定ファイルを用意してくくれる
    • CentOS8 では authselect になった. authconfig-uti は削除.
  • 設定ファイルは /etc/ldap.conf と/etc/openldap/ldap.conf の両方を見ているみたい.
  • /etc/pam.d/*
     
Page Top

CentOS anchor.png

  • CentOS では /etc/ldap.conf がない.
    • 直接 LDAPサーバに接続するのではなく,nslcd に接続するようだ.
    • したがって 設定ファイルは不必要.
    • pam は認証しかしない.ユーザ情報の取得は NSSが行う -> 別々に設定するのは面倒なので,全部NSSに任せる... という理解でOK?
    • CentOS7nslcd の挙動が変? (コンパイルした pam_ldapではちゃんと動く!直接 LDAPサーバに見に行っている)
      • nslcd を最新版にしたが× (v0.9.11)
         
Page Top

PAM anchor.png

Page Top
system-auth anchor.png
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quiet
auth        [default=1 ignore=ignore success=ok] pam_localuser.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so
 
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_oddjob_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so
  • 必要なら(自分でpam_ldapをコンパイル・インストールしたら)pam_ldap.so を /lib/security/pam_ldap.so に書き換える
     
Page Top

Memo anchor.png

  • pam は認証しかしないが,システムへのログインなどではユーザ情報も必要である.
  • 従って /etc/passwd にユーザのエントリだけ書いておけば,nss_ldap は必要ない.(実用的ではないけど)
  • CentOS の pam_ldap は nslcd が必須(なように改造されている)
    • 最初は,NSS を PAM に統合する方がきれいと思ったが,汎用性を考えれば NSS に統合する方が良いかも
    • でも動かん!
       
Page Top
CentOS7 の pam_ldap.so anchor.png
# strings /lib64/security/pam_ldap.so |grep nslcd
/nslcd/sH
nslcd authentication; user=%s
error writing to nslcd: %s
error reading from nslcd: %s
user not handled by nslcd
nslcd session %s; user=%s
nslcd request config (%d)
nslcd authorisation; user=%s
nslcd account check; user=%s
error opening connection to nslcd: %s
nslcd password modify; user=%s

# strings /lib64/security/pam_ldap.so |grep conf 
nslcd request config (%d)
Front page   Freeze Diff Backup Copy Rename Reload   New List of Pages Search Recent changes   Help   RSS of recent changes (RSS 1.0) RSS of recent changes (RSS 2.0) RSS of recent changes (RSS Atom)
Counter: 1309, today: 3, yesterday: 0
Last-modified: 2021-06-29 (Tue) 11:12:15 (JST) (1034d) by iseki
Links: OpenLDAP CentOS7 389 Directory Server LDAP nslcd authselect PAM ldap.conf nss_ldap
Page aliases: None
Page owner: iseki
Site admin: admin

Site Search


Advanced Search

Login
Username:

Password:


Lost Password?
Register now!!

Sub Menu

Books

mini Calendar
Last MonthApr 2024Next Month
Su Mo Tu We Th Fr Sa
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30
Today

Who's Online
76 user(s) are online (11 user(s) are browsing xpwiki)

Members: 0
Guests: 76

more...

Access Counter
Today : 1012110121101211012110121
Yesterday : 2042920429204292042920429
Total : 2338952723389527233895272338952723389527233895272338952723389527
Powered by XOOPS Cube 2.1© 2001-2006 XOOPS Cube Project
Design by XoopsDesign.com