Я пытался установить pam, ldap на fedora23. Я настроил pam.d / system-auth следующим образом:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 100 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account sufficient pam_ldap.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
и ldap.conf следующим образом:
BASE dc=aaa,dc=bbb,dc=ccc
URI ldap://aaa.bbb.ccc/
sudoers_base ou=SUDOers,dc=aaa,dc=bbb,dc=ccc
pam_groupdn cn=serverFedora,ou=groups,dc=aaa,dc=bbb,dc=ccc
, но все пользователи могут войти в систему независимо от того, находятся они в группе или нет. есть идеи о том, что я пропустил?
Заранее спасибо
Спасибо за ответ Я проверил человека, и этот вариант не поддерживался. Я проверил и нашел эти параметры в /etc/nslcd.conf:[12154 sizes, а также в /etc/ldap.conf:
nss_base_group cn=fedoraserver,ou=groups,dc=aaa,dc=bbb,dc=ccc
nss_base_passwd ou=people,dc=aaa,dc=bbb,dc=ccc
nss_base_shadow ou=people,dc=aaa,dc=bbb,dc=ccc
, но все же у меня такая же проблема, и все пользователи могут войти в систему, независимо от того, являются ли они членами Fedoraserver или не. есть какие-нибудь идеи по этому поводу?
Не все модули pam_ldap
поддерживают одни и те же параметры, а параметр pam_groupdn
, который вы пытаетесь использовать, взят из реализации PADL модуля, который Дистрибутивы Linux пытаются уйти от. Не рекомендуется возвращаться к старому модулю PADL, поскольку каждый процесс должен поддерживать свое собственное отдельное состояние и соединение с сервером LDAP.
Проверьте страницу руководства ( man pam_ldap
) и убедитесь, что этот параметр указан. Если его нет, вы используете другой модуль PAM, и вам нужно будет проконсультироваться с документацией о том, как реализовать это групповое ограничение с использованием вашего текущего модуля.
(в качестве альтернативы, взгляните на pam_limits
)