Вопросы Теги

Ubuntu аутентификация LDAP OS X

Существует большое разнообразие в строке PowerEdge серверов. По крайней мере некоторые из них являются очень громкими. Можно быть более обеспеченной попыткой исследовать некоторую звуковую проверку.

Если Вам любопытно на предмет определенной системы, необходимо войти в http://support.dell.com/ и проверить руководства, некоторые скажут Вам, сколько звука система делает.

0
задан 27 August 2009 в 21:13
3 ответа

проблема состоит в том, что то руководство является неправым, или по крайней мере субоптимальным.

/etc/pam.d/common-auth должен иметь:

auth sufficient pam_unix.so nullok_secure nodelay
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so

это говорит, что или pam_unix или pam_ldap достаточны для входа в систему, и любой вход в систему, приводя обоих к сбою из тех отклонен. это пробует локальный вход в систему Unix сначала - который чрезвычайно полезен, если Ваш сервер LDAP снижается или недостижим, и все еще необходимо войти в систему как локальный пользователь.

это также использует 'use_first_pass', а не 'try_first_pass'... они очень похожи за исключением того, что это не запросит пароль снова, если первое будет неправильным.

см. страницы справочника для pam_unix и pam_ldap для получения дополнительной информации.

BTW, добавляя следующее к/etc/pam.d/common-session очень полезен:

session required pam_limits.so

это позволяет Вам использовать/etc/security/limits.conf и access.conf и т.д., чтобы иметь очень точный контроль, по которому пользователям разрешают войти в систему (например, я ограничиваю логины ssh на своих серверах членам администраторской группы), и также установите пределы ресурса (память, maxlogins, хороший приоритет, и т.д.) для их входа в систему.

2
ответ дан 4 December 2019 в 12:13
  • 1
    You' ре прямо о pam_limits.so, являющемся удобным, и о use_first_pass. подлинный достаточный pam_ldap.so автор потребовал, чтобы pam_unix.so сделал то же самое как модули you' использование ре все же. заключить страницу справочника в кавычки на достаточном: успеха такого модуля достаточно для удовлетворения требований аутентификации стопки модулей Поэтому, если pam_ldap.so передает, пользователь входит. Если это перестало работать, pam_unix.so пробуют, и подлинный отказ возвратов если это isn' t успешный. Тот же эффект как Ваш выбор модулей. –  Cian 28 August 2009 в 02:03
  • 2
    да, порядок важен (достаточный, должен прибыть прежде требуемый). я все еще предпочитаю использовать достаточный, потому что это более ясно выражает намерение. также, it' s более безопасный иметь исключения (" sufficient" правила) перед значением по умолчанию (" pam_deny") –  cas 28 August 2009 в 02:13
  • 3
    It' s никоим образом не более безопасный иметь два sufficients, и затем pam_deny, чем иметь достаточное, и необходимое. They' ре точно то же, в действительности (по крайней мере, если Вы don' t добавляют дополнительный материал после необходимого). –  Cian 31 August 2009 в 12:18
  • 4
    Это добилось цели только I' ve сталкиваются с другой проблемой. Прямо сейчас у нас есть он установка так, чтобы, когда пользователь входит в систему на Mac, он смонтировал user' s корневой каталог на сервере OS X, поэтому когда пользователь пытается войти в систему на машине человечности, она пытается использовать mac' s путь корневого каталога (/Volumes/Network_Server... и т.д.), который, очевидно, перестал работать. Есть ли какой-либо путь вокруг этого? –  Steve Gattuso 31 August 2009 в 19:41
  • 5
    @cian: that' s, почему it' s более безопасный - it' s более ясный и легкий видеть, каково намерение, который мешает делать ошибку. человеческая ошибка является фактором, который рассмотрят и сделают менее вероятно. –  cas 1 September 2009 в 00:49

Порядок является правильным в Вашем общем _ (безотносительно) в/etc/pam.d/common-(вообще)? Проверьте и их и/etc/pam.d/login и удостоверьтесь, что ничто отмеченное не 'потребовало', или 'необходимое' выше их.

Кроме того, Вы отредактировали и/etc/ldap.conf и/etc/ldap/ldap.conf для отражения установки ldap? Если ни один из них не работает, Вы могли бы попытаться отправить отрывки журнала от неудавшихся логинов, и возможно от предпринятого привязывает сервер LDAP.

Обратите внимание на то, что то, что Вы видите пользователей в getent passwd, не означает, что у Вас есть ldap, настроенный правильно. Это означает, что у Вас есть nss_ldap, настроенный правильно. Аутентификация сделана отдельным модулем pam-ldap.

2
ответ дан 4 December 2019 в 12:13
  • 1
    Да, все в порядке, как это должно быть, все еще не пройдя проверку подлинности./etc/ldap.conf является установкой definatly, так как я вижу всех пользователей в getent passwd –  Steve Gattuso 27 August 2009 в 21:12
  • 2
    Что относительно/etc/ldap/ldap.conf? Я верю PAM, и NSS считала различные файлы для их конфигурации ldap. –  Cian 27 August 2009 в 22:31
  • 3
    Информация в getent прибывает из NSS, который является полностью отдельным к PAM. PAM - то, что необходимо работать для входа в систему. –  theotherreceive 27 August 2009 в 22:37
  • 4
    отредактированный для лучше объяснения различия между pam и nss. –  Cian 31 August 2009 в 12:17

Вы используете анонимную привязку со своим сервером LDAP? Получение списка пользователей и аутентификация их против сервера LDAP обрабатываются 2 отдельными пакетами. Вы могли отправить свой/etc/ldap.conf и и какие-либо связанные ошибки?

0
ответ дан 4 December 2019 в 12:13

Теги

Похожие вопросы