3: 2021-06-18 (金) 14:30:03 iseki |
4: 2021-06-20 (日) 11:35:59 iseki |
| ** pam_ldap [#hda84a02] | | ** pam_ldap [#hda84a02] |
| + | - 認証で LDAP を使用するためのモジュール.(認証しかしない) |
| + | - https://github.com/PADL/pam_ldap |
| - see also [[OpenLDAP]], [[nss_ldap]] | | - see also [[OpenLDAP]], [[nss_ldap]] |
| #br | | #br |
| + | |
| + | *** config [#edc2684d] |
| + | - /etc/ldap.conf |
| + | host 202.26.150.51 |
| + | base dc=nsl,dc=tuis,dc=ac,dc=jp |
| + | uri ldap://202.26.150.51/ |
| + | |
| + | binddn cn=**** |
| + | bindpw **** |
| + | |
| + | *** CentOS [#aa069f20] |
| + | - CentOS では /etc/ldap.conf がない. |
| + | -- 直接 LDAPサーバに接続するのではなく,[[nslcd]] に接続するようだ. |
| + | -- したがって 設定ファイルは不必要. |
| + | -- pam は認証しかしない.ユーザ情報の取得は NSSが行う -> 別々に設定するのは面倒なので,全部NSSに任せる... という理解でOK? |
| + | #br |
| + | |
| + | *** Memo [#kf3aaf96] |
| + | - pam は認証しかしないが,システムへのログインなどではユーザ情報も必要である. |
| + | - 従って /etc/passwd にユーザのエントリだけ書いておけば,[[nss_ldap]] は必要ない.(実用的ではないけど) |
| + | - CentOS の pam_ldap は [[nslcd]] が必須(なように改造されている) |
| + | -- 最初は,NSS を PAM に統合する方がきれいと思ったが,汎用性を考えれば NSS に統合する方が良いかも |
| + | #br |
| + | |
| + | **** CentOS7 の pam_ldap.so [#a8c4e426] |
| + | # strings /lib64/security/pam_ldap.so |grep nslcd |
| + | /nslcd/sH |
| + | nslcd authentication; user=%s |
| + | error writing to nslcd: %s |
| + | error reading from nslcd: %s |
| + | user not handled by nslcd |
| + | nslcd session %s; user=%s |
| + | nslcd request config (%d) |
| + | nslcd authorisation; user=%s |
| + | nslcd account check; user=%s |
| + | error opening connection to nslcd: %s |
| + | nslcd password modify; user=%s |
| + | |
| + | # strings /lib64/security/pam_ldap.so |grep conf |
| + | nslcd request config (%d) |