[OpenLDAP] Systemauthentifizierung

freach · Beitrag von **freach** » 26.07.2005 11:30:18

Hi,
ich habe vor den gesamten Authentifizierungsmechanismus meines Servers auf OpenLDAP umzustellen.
Bisher bin ich soweit, dass die OpenLDAP Datenbank läuft, ein User und Gruppen hinzugefügt sind. nsswitch und Configs im Ordner /etc/pam.d sind eingestellt. Mit "finger username" gibt er mich auch den User aus, die Abfrage scheint also zu funktionieren.

Das Problem was ich habe, ich kann mich in das System einloggen mit dem User aus der LDAP DB, aber bei der Passwortabfrage kann ich nehmen was ich möchte, selbst nur mit ENTER kann ich mich in das System einloggen. Es findet also keine wirkliche Abfrage statt, er lässt mich ja eh rein.

Ich denke es ist nur was bei den /etc/pam.d Configs falsch gelaufen. Hat wer schon ein lauffähiges System?

/etc/pam.d/common-account

Code: Alles auswählen

account sufficient pam_ldap.so
account required pam_unix.so

/etc/pam.d/common-auth

Code: Alles auswählen

auth sufficient pam_ldap.so use_first_pass
auth sufficient pam_unix.so likeauth nullok

/etc/pam.d/common-password

Code: Alles auswählen

password sufficient pam_ldap.so use_authtok
password required pam_unix.so nullok useauthtok md5 shadow

/etc/pam.d/common-session

Code: Alles auswählen

session optional pam_ldap.so
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel umask=0022

/etc/nsswitch.conf

Code: Alles auswählen

passwd: files ldap
group: files ldap
shadow: files ldap
[...]

Savar · Beitrag von **Savar** » 26.07.2005 11:36:14

hmmmm.... RATEN:

/etc/pam.d/common-auth

Code: Alles auswählen

auth sufficient pam_ldap.so 
auth sufficient pam_unix.so use_first_pass likeauth nullok

freach · Beitrag von **freach** » 26.07.2005 12:26:42

negativ ... das alleine scheint es noch nicht zu sein

EDIT:
So nach mehreren Wochen rumprobieren konnte ich mich heute durchringen einen Thread zu posten und Prompt löse ich mein Problem selber.

Die vorgegebenen Module von Debian können nicht verwendet werden, aber Debian liefert Ersatzmodule mit bzw. die richtigen Module.

Lösung:
/etc/pam.d/common-account

Code: Alles auswählen

account sufficient pam_ldap.so
account required pam_unix_acct.so

/etc/pam.d/common-auth

Code: Alles auswählen

auth sufficient pam_ldap.so
auth required pam_unix_auth.so try_first_pass

/etc/pam.d/common-password

Code: Alles auswählen

password sufficient pam_ldap.so
password required pam_unix_passwd.so use_first_pass
password required pam_cracklib.so

/etc/pam.d/common-session

Code: Alles auswählen

session required pam_unix_session.so
session required pam_mkhomedir.so skel=/etc/skel umask=0022

Selbst das verhasste SSH und SU funzt jetzt ohne Probleme mit LDAP-Accounts!!!
So einfach kann es sein, aber diese Kombination habe ich weder in Dokus noch in Howtos oder anderen Konfigs gesehen.