Назад | Перейти на главную страницу

pam_groupdn вообще не работает. всегда все пользователи могут войти в систему

Я пытался установить pam, ldap на Fedora23. Я настроил pam.d / system-auth следующим образом:

    #%PAM-1.0
    # This file is auto-generated.
    # User changes will be destroyed the next time authconfig is run.
    auth required      pam_env.so
    auth sufficient    pam_unix.so nullok try_first_pass
    auth requisite     pam_succeed_if.so uid >= 100 quiet
    auth sufficient    pam_ldap.so use_first_pass
    auth required      pam_deny.so

    account     required      pam_unix.so broken_shadow
    account     sufficient    pam_localuser.so
    account     sufficient    pam_succeed_if.so uid < 500 quiet
    account     sufficient    pam_ldap.so
    account     required      pam_permit.so

    password    requisite     pam_cracklib.so try_first_pass retry=3 type=
    password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
    password    sufficient    pam_ldap.so use_authtok
    password    required      pam_deny.so

    session     optional      pam_keyinit.so revoke
    session     required      pam_limits.so
    session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
    session     required      pam_unix.so
    session     optional      pam_ldap.so

и ldap.conf следующим образом:

    BASE dc=aaa,dc=bbb,dc=ccc
    URI ldap://aaa.bbb.ccc/
    sudoers_base ou=SUDOers,dc=aaa,dc=bbb,dc=ccc
    pam_groupdn cn=serverFedora,ou=groups,dc=aaa,dc=bbb,dc=ccc

но все пользователи могут войти в систему независимо от того, находятся они в группе или нет. есть идеи о том, что я пропустил?

Заранее спасибо

спасибо за ответ, я проверил человека, и этот вариант не поддерживался. Я проверил и нашел эти параметры в /etc/nslcd.conf:

base group   ou=people,dc=aaa,dc=bbb,dc=ccc?one?memberOf=cn=fedoraserver,ou=groups,dc=aaa,dc=bbb,dc=ccc
base passwd  ou=people,dc=aaa,dc=bbb,dc=ccc
base shadow  ou=people,dc=aaa,dc=bbb,dc=ccc

а также в /etc/ldap.conf:

nss_base_group     cn=fedoraserver,ou=groups,dc=aaa,dc=bbb,dc=ccc
nss_base_passwd     ou=people,dc=aaa,dc=bbb,dc=ccc
nss_base_shadow     ou=people,dc=aaa,dc=bbb,dc=ccc

но все же у меня такая же проблема, и все пользователи могут войти в систему, независимо от того, являются они членами fedoraserver или нет. есть какое-нибудь представление об этом?

Не все pam_ldap модули поддерживают те же параметры, а pam_groupdn вариант, который вы пытаетесь использовать, взят из реализации модуля PADL, от которого большинство дистрибутивов Linux пытаются отказаться. Не рекомендуется возвращаться к старому модулю PADL, поскольку каждый процесс должен поддерживать свое собственное отдельное состояние и соединение с сервером LDAP.

Проверьте страницу руководства (man pam_ldap) и убедитесь, что эта опция указана. Если его нет, вы используете другой модуль PAM, и вам нужно будет проконсультироваться с документацией о том, как реализовать это групповое ограничение с помощью вашего текущего модуля.

(в качестве альтернативы взгляните на pam_limits)