/etc/pam.d configuración

tag-icon tag-icon ssh login authentication pam ldap
/etc/pam.d configuración

Este es un ejemplo del /etc/pam.d/sshdarchivo de configuración en un sistema FreeBSD 11.0 recién instalado:

#
# $FreeBSD: releng/11.0/etc/pam.d/sshd 197769 2009-10-05 09:28:54Z des $
#
# PAM configuration for the "sshd" service
#

# auth
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            required        pam_unix.so             no_warn try_first_pass

# account
account         required        pam_nologin.so
#account        required        pam_krb5.so
account         required        pam_login_access.so
account         required        pam_unix.so

# session
#session        optional        pam_ssh.so              want_agent
session         required        pam_permit.so

# password
#password       sufficient      pam_krb5.so             no_warn try_first_pass
password        required        pam_unix.so             no_warn try_first_pass

Me gustaría configurar este archivo en un cliente OpenLDAP, que debería usar LDAP para permitir que los usuarios remotos inicien sesión.esta guíadice poneren algún lugarla línea

auth  sufficient  /usr/local/lib/pam_ldap.so  no_warn

he leídoeste documentoyÉste; Intenté poner esta línea antes de la pam_unix.solínea de la authsección, pero mi cliente no funciona y no conozco muy bien a PAM.

1) ¿Es correcta esa línea? ¿Dónde debería ponerse esa línea en la authsección?

2) ¿Debería incluirse esa línea también en una o más secciones?

Respuesta1

La forma en que funciona PAM es que sigue cada línea hasta el final (o hasta que sufre un cortocircuito con una falla particular). Cada una de esas palabras clave dice cómo se trata el paso de autenticación.

Lo que quiere es decirle que la autenticación LDAP es aceptable para la autenticación. Por lo tanto, debe colocar su línea pam_ldap.so ANTES de esa línea final. Eso dice que la autenticación LDAP es suficiente para la autenticación.

auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            sufficient  /usr/local/lib/pam_ldap.so  no_warn
auth            required        pam_unix.so             no_warn try_first_pass

Si desea obtener más detalles, el mejor lugar para buscar es la página del manual de pam.d o pam.conf en la sección 5 del manual:

% man 5 pam.d

información relacionada