Ich habe einige SLED10SP1-Maschinen (Update nicht erlaubt) so konfiguriert, dass sie LDAP zur Benutzerauthentifizierung verwenden. Da SLED10 keine offiziellen Pakete für pam_ccreds oder sssd hat, muss ich einen Weg finden, die Offline-Anmeldung auf andere Weise zu ermöglichen. Die Lösung, die wir gefunden haben, bestand darin, einige Konten sowohl lokal als auch im Verzeichnis zu speichern.
Nun besteht das Problem darin, die Nutzung des lokalen Kontos nur zuzulassen, wenn der LDAP-Server nicht erreichbar ist. Wie bekomme ich das hin?
Ich habe pam_unix2 so konfiguriert, dass es LDAP (in pam_unix2.conf) mit Konto und Passwort verwendet, aber ohne Authentifizierung. Für die Authentifizierung verwende ich pam_ldap.
gemeinsame Authentifizierung:
auth required pam_env.so
auth [default=ignore cred_insufficient=die success=done] pam_ldap.so
auth required pam_unix2.so
Was vermisse ich?