Я запускаю ubuntu 10.10 и пытаюсь настроить pam с помощью pam_ldap.
Руководство по адресу: http://wiki.debian.org/LDAP/PAM говорит, среди прочего:
In order to globally enable LDAP authentication through PAM, configure /etc/pam_ldap.conf accordingly and edit the /etc/pam.d/common-* files so that they contain something like this:
/etc/pam.d/common-account:
account required pam_unix.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
Теперь, взяв этот файл в качестве примера, я вижу:
# here are the per-package modules (the "Primary" block)
account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 default=ignore] pam_ldap.so
# here's the fallback if no module succeeds
account requisite pam_deny.so
У меня вопрос: удаляю ли я то, что в данный момент находится в этом файле, заменяя их на то, что есть в руководстве, или добавляю элементы из руководства в конец файла?
Второй файл, который вы скопировали, уже должен разрешать доступ через LDAP.
Первое правило будет пытаться аутентифицироваться через стандартный механизм unix (passwd / shadow). Если это не удается, вызывается второе правило и пытается аутентифицироваться с помощью pam_ldap. Если это не удается, вход в систему запрещается.
Кстати, при внедрении PAM не забывайте тестировать все шаг за шагом.
Убедитесь, что вы можете выполнить поиск через ldapsearch, чтобы убедиться, что ваши / etc / pam_ldap и / или / etc / nss_ldap настроены правильно.
Также убедитесь, что группа getent passwd / getent возвращает учетные записи Unix и Ldap, чтобы убедиться, что ваш /etc/nsswitch.conf настроен правильно.