Назад | Перейти на главную страницу

Конфигурация PAM, nsswitch и LDAP


У меня технический и точный вопрос о двух типах конфигурации LDAP, файлах конфигурации pam и nsswitch.conf.
В чем разница между passwd_compat конфигурация и pam_list?
Я очень запутался ... заранее спасибо.
Филиппо

Если я не неправильно понимаю ваш вопрос, вы, кажется, путаете две разные вещи, что, вероятно, приводит к вашей путанице:

pam_list - это модуль авторизации учетной записи, то есть он позволяет указать способы определения того, является ли учетная запись пользователя «действительной» на данной машине. Обратитесь к странице руководства для pam_list Чтобы получить больше информации. Вы бы использовали pam_list в файле конфигурации PAM, чтобы разрешить / запретить конкретным пользователям на определенных хостах.
pam_list может использоваться с allow или deny файлов, а также имеет опцию "compat", которая заставляет его работать так же, как обычно делает NIS (строки + и - в /etc/passwd).
Вы можете обратиться к страница руководства для pam_list для получения дополнительной информации здесь.

Если вы используете LDAP (pam_ldap или аналогичный), существуют «лучшие» способы выполнения функций авторизации пользователей - обычно с использованием групп LDAP или OU для управления доступом.
См. Соответствующую документацию для вашего модуля LDAP PAM для уточнения деталей.


passwd_compat это «псевдобаза данных», которая появляется в nsswitch.conf. Если вы используете LDAP, вы обычно указываете LDAP как часть passwd и group баз данных, и ваш интерфейсный модуль LDAP-nsswitch (nss_ldap или аналогичный) будет обрабатывать биты поиска LDAP. Вы также можете установить passwd_compat так, чтобы он указывал на nis или ldap по мере необходимости. Обычно в результате получается что-то вроде:

 passwd: compat
 passwd_compat files ldap  

Страница руководства для nsswitch.conf является хорошим источником информации об этом. Вы также можете найти некоторые идеи в книге О'Рейли. Управление NFS и NIS - около 10 лет (2-е изд.), но все еще применимо.
Я считаю, что у О'Рейли также есть книга по LDAP, но я не уверен, обсуждает ли она что-нибудь о nsswitch или PAM ...