[ug-czosug] Re: nedari se mi vzdalene prihlasit

[Martin Cerveny]

Zdravim.

> Co znamená ta poznámka o pam_unix? 

Asi takhle: Nesmesovat pojmy/technologie PAM a NSSWITCH (name services).

NSSWITCH:
- konfigurace /etc/nsswitch.conf (knihovny /usr/lib/nss_*)
- prinese rozsireni obsahu ruznych os databazi (vcetne "passwd") o dalsi zaznamy (vcetne z LDAP)

PAM:
- konfigurace /etc/pam.conf (knihovny /usr/lib/security/pam_*)
- overuje konto uzivatele (napr. pomoci hesla, platnost konta ...)

Z toho vyplyvaji nasledujici moznosti:

1) pam (pam_unix) + nsswitch (nss_files) -> vse se overeuje/zjistuje lokalne (passwd+shadow)
2) pam (pam_ldap) + nsswitch (nss_files) -> (neobvykle) lokalni konta a hesla ulozena v LDAP, heslo overovano LDAP "bind" testem
3) pam (pam_unix) + nsswitch (nss_ldap) -> uzivatele jsou ulozene v ldap _vcetne_ hesla, ktere se testuje unixovym zpusobem tj. stahne se polozka "password" z jmenne sluzby do lokalniho pocitace a lokalne se zakoduje heslo (unix crypt) a porovna se s stazenym
4) pam (pam_ldap) + nsswitch (nss_ldap) -> uzivatel je ulozen v ldap, heslo se netestuje lokalne, ale je overovano LDAP "bind" testem (takze se ve jmennych sluzbach obvykle odmaskuje aby se nestahovalo) - heslo se pak uklada a overeuje na strane LDAP serveru a tim padem je uplne jedno jak bude ulozeno v LDAP.

A to vse lze "rozumne" kombinovat, takze pozadovana funkcionalita lokalni uzivatele v passwd+shadow a vzdalene LDAP+LDAP:
nsswitch.conf:  passwd:     files ldap
pam.conf je v "man pam_ldap" dulzezite jsou specifikatory "binding" a volby "server_policy" u "unix" modulu.

M.C>

PS:Dnes se obvykle dela varianta LDAP(NSSWITCH-konta)+KRB5(overeni konta a implementace systemoveho SSO). Tato varianta lze take primo navazat na Windows2000 AD/DC (nutono rozsirit AD o Posix konta, ale pracuje se na jednodussim mapovani - projekt winchester http://www.opensolaris.org/os/project/winchester/ ) :-)
 
 
This message posted from opensolaris.org