У меня есть требование разрешить вход в систему нелокальных учетных записей пользователей через аутентификацию LDAP. Это означает, что пользователю, который пытается войти в систему, разрешен доступ, если учетная запись пользователя существует в базе данных сервера LDAP, нет необходимости иметь локального пользователя.
Я смогу добиться этого, если запустил NSLCD (/ usr / sbin / nslcd).
Хотел бы знать, можем ли мы сделать это с какой-либо конфигурацией в /etc/pam.d/sshd или /etc/pam_ldap.conf без использования запущенного NSLCD.
Пожалуйста, дайте мне знать ваши предложения
Спасибо, Шравани
Нет, это невозможно сделать только с PAM.
PAM - это библиотека для аутентификации, авторизации и связанных учетных задач. Это не библиотека низкого уровня; если программа не включает явных вызовов PAM, она ничего не делает.
Поиск uid и gid направляется через систему, называемую NSS (Переключатель службы имен). Это настраивается через /etc/nsswitch.conf. Если вы не предоставляете библиотеку для NSS для взаимодействия с LDAP, библиотеки C низкого уровня не смогут выполнять поиск по ней.
Это является можно использовать другую библиотеку NSS для LDAP, которая не полагается на nslcd (так работала старая библиотека LDAP, поставляемая PADL), но это почти наверняка плохая идея. Без демона, работающего в фоновом режиме, каждый звонок для NSS необходимо открыть новое соединение с сервером LDAP и немедленно освободить его. Это крайне расточительно и делает невозможным отслеживание состояния удаленного сервера библиотеками, т.е. каждый поиск NSS должен индивидуально отключаться во время сбоя сети.
Если вы используете redhat или производный дистрибутив, просто используйте authconfig util.
Не уверен, что это доступно в дистрибутивах, производных от Debian / deb (подозреваю, что нет).
Если вам нужна дополнительная информация, вам, вероятно, придется указать, какой дистрибутив вы используете.