У меня технический и точный вопрос о двух типах конфигурации LDAP, файлах конфигурации pam и nsswitch.conf.
В чем разница между passwd_compat
конфигурация и pam_list
?
Я очень запутался ... заранее спасибо.
Филиппо
Если я не неправильно понимаю ваш вопрос, вы, кажется, путаете две разные вещи, что, вероятно, приводит к вашей путанице:
pam_list
- это модуль авторизации учетной записи, то есть он позволяет указать способы определения того, является ли учетная запись пользователя «действительной» на данной машине. Обратитесь к странице руководства для pam_list
Чтобы получить больше информации. Вы бы использовали pam_list
в файле конфигурации PAM, чтобы разрешить / запретить конкретным пользователям на определенных хостах.
pam_list
может использоваться с allow
или deny
файлов, а также имеет опцию "compat", которая заставляет его работать так же, как обычно делает NIS (строки + и - в /etc/passwd
).
Вы можете обратиться к страница руководства для pam_list
для получения дополнительной информации здесь.
Если вы используете LDAP (pam_ldap или аналогичный), существуют «лучшие» способы выполнения функций авторизации пользователей - обычно с использованием групп LDAP или OU для управления доступом.
См. Соответствующую документацию для вашего модуля LDAP PAM для уточнения деталей.
passwd_compat
это «псевдобаза данных», которая появляется в nsswitch.conf. Если вы используете LDAP, вы обычно указываете LDAP как часть passwd
и group
баз данных, и ваш интерфейсный модуль LDAP-nsswitch (nss_ldap или аналогичный) будет обрабатывать биты поиска LDAP. Вы также можете установить passwd_compat так, чтобы он указывал на nis
или ldap
по мере необходимости. Обычно в результате получается что-то вроде:
passwd: compat
passwd_compat files ldap
Страница руководства для nsswitch.conf
является хорошим источником информации об этом. Вы также можете найти некоторые идеи в книге О'Рейли. Управление NFS и NIS - около 10 лет (2-е изд.), но все еще применимо.
Я считаю, что у О'Рейли также есть книга по LDAP, но я не уверен, обсуждает ли она что-нибудь о nsswitch или PAM ...