/etc/pam.d/sshdこれは、FreeBSD 11.0 を新規にインストールしたシステムの設定ファイルの例です。
#
# $FreeBSD: releng/11.0/etc/pam.d/sshd 197769 2009-10-05 09:28:54Z des $
#
# PAM configuration for the "sshd" service
#
# auth
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
#auth sufficient pam_krb5.so no_warn try_first_pass
#auth sufficient pam_ssh.so no_warn try_first_pass
auth required pam_unix.so no_warn try_first_pass
# account
account required pam_nologin.so
#account required pam_krb5.so
account required pam_login_access.so
account required pam_unix.so
# session
#session optional pam_ssh.so want_agent
session required pam_permit.so
# password
#password sufficient pam_krb5.so no_warn try_first_pass
password required pam_unix.so no_warn try_first_pass
リモート ユーザーがログインできるように LDAP を使用する OpenLDAP クライアントでこのファイルを構成したいと思います。このガイド置くと言うどこかこの線
auth sufficient /usr/local/lib/pam_ldap.so no_warn
もう読んだこのドキュメントそしてこれですpam_unix.so; この行をセクションの行の前に配置しようとしましたauthが、クライアントが動作せず、PAM についてよくわかりません。
1) その行は正しいですか? その行はセクションのどこに配置する必要がありますかauth?
2) その行を他の 1 つ以上のセクションにも配置する必要がありますか?
答え1
PAM の動作は、すべての行を最後まで (または特定の失敗でショートするまで) 追跡することです。これらのキーワードはそれぞれ、認証手順がどのように処理されるかを示します。
必要なのは、認証に LDAP 認証が許容されることを伝えることです。そのため、pam_ldap.so の行を最終行の前に配置する必要があります。これは、認証に LDAP 認証が十分であることを示します。
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
#auth sufficient pam_krb5.so no_warn try_first_pass
#auth sufficient pam_ssh.so no_warn try_first_pass
auth sufficient /usr/local/lib/pam_ldap.so no_warn
auth required pam_unix.so no_warn try_first_pass
さらに詳しい情報を知りたい場合は、マニュアルのセクション 5 にある pam.d または pam.conf のマニュアル ページを参照してください。
% man 5 pam.d