Если я не неправильно понимаю Ваш вопрос, Вы, кажется, объединяете две разных вещи, который является, вероятно, ведущим к Вашему беспорядку:
pam_list
авторизационный модуль учетной записи - который является им, позволяет Вам указать способы определить, "действительна" ли учетная запись пользователя на данной машине. Обратитесь к странице справочника для pam_list
для получения дополнительной информации. Вы использовали бы pam_list
в конфигурационном файле PAM, чтобы позволить/отклонить определенным пользователям на определенных хостах.
pam_list
может использоваться с allow
или deny
файлы, и также имеют "compat" опцию, которая заставляет его работать тот же способ, которым традиционно делает NIS (+ и - строки в /etc/passwd
).
Можно обратиться к странице справочника для pam_list
для получения дополнительной информации здесь.
При использовании LDAP (pam_ldap или подобный) существуют "лучшие" способы сделать материал авторизации пользователя - обычно использующий группы LDAP или OUs для управления доступом.
См. соответствующую документацию для своего модуля PAM LDAP для специфических особенностей.
passwd_compat
"псевдобаза данных", которая появляется в nsswitch.conf. При использовании LDAP, Вы обычно перечисляли бы LDAP как часть passwd
и group
базы данных и Ваш LDAP-nsswitch взаимодействующий через интерфейс модуль (nss_ldap или подобный) обработали бы выполнение битов поиска LDAP. Вы могли также установить passwd_compat для указания на nis
или ldap
по обстоятельствам. Обычно это приводит к чему-то как:
passwd: compat
passwd_compat files ldap
Страница справочника для nsswitch.conf
хороший источник информации об этом. Можно также найти некоторое понимание в книге O'Reilly Руководящим NFS и NIS - приблизительно 10 лет (2-й Ed.), но все еще обычно применимый.
Я полагаю, что у O'Reilly также есть LDAP, выписываются, но я не уверен, обсуждает ли он что-нибудь о nsswitch или PAM...