Мне удалось установить SSH + LDAP, более того, я аутентифицирую пользователей через pam_groupdn - если пользователь находится в соответствующей группе, ему разрешено войти на сервер.
Это часть моей памяти.
account sufficient pam_ldap.so
account sufficient pam_unix.so
Часть pam_ldap.conf
# Group to enforce membership of
pam_groupdn cn=ldapclient,ou=group,dc=aaaa,dc=zzzz
# Group member attribute
pam_member_attribute memberUid
Если я отключу pam_unix.so, все будет хорошо. Пользователю отказывают, если он не входит в группу. Но я не могу отключить pam_unix.so, потому что, если сервер LDAP отключен, у меня возникнут серьезные проблемы с входом, даже локально.
Если pam_unix.so включен:
gigi@0's password:
You must be a memberUid of cn=ldapclient,ou=group,dc=aaaa,dc=zzzz to login.
Linux testing 2.6.26-2-686 #1 SMP Thu Sep 16 19:35:51 UTC 2010 i686
....
и пользователю разрешено войти в систему, даже если он не входит в группу.
Я нашел какое-то решение с /etc/security/access.conf, но я бы хотел этого избежать. Любая помощь ?
Спасибо, Мартин
Я решил это. Проблема вызвала чертов демон кэширования nscd !!!! Я настоятельно рекомендую удалить его во время тестирования.
У меня была такая же проблема. Я решил добавить значение «shadowAccount» в атрибут «objectClass».
Теперь у пользователей есть в objectClass эти значения: inetOrgPerson, posixAccount, shadowAccount.
Я оставил свой commom_account вот так:
достаточно учетной записи pam_ldap.so требуется учетная запись pam_unix.so
и все идет нормально!
Данило.