vash wrote: > Доброго времени суток уважаемые! > вопросик - кому удалось настроить авторизацию ldap через pam (без так > называемого > прокси-пользователя для libnss-ldap) - можно пример рабочих конфигов? >
for i in /etc/ldap/ldap.conf /etc/ldap/slapd.conf /etc/default/slapd /etc/nsswitch.conf /etc/libnss-ldap.conf /etc/pam.d/common-*; do echo "";echo "#>>>>>$i";cat "$i"|grep -v "^#\|^$";done #>>>>>/etc/ldap/ldap.conf BASE dc=eol,dc=lvk,dc=cs,dc=msu,dc=su URI ldap://127.0.0.1 TIMELIMIT 15 #>>>>>/etc/ldap/slapd.conf include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema schemacheck on pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd.args loglevel 0 modulepath /usr/lib/ldap moduleload back_bdb backend bdb database bdb suffix "dc=eol,dc=lvk,dc=cs,dc=msu,dc=su" directory "/var/lib/ldap" index objectClass eq index uid eq lastmod on access to attrs=userPassword by dn="cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su" write by anonymous auth by self write by * none access to * by dn="cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su" write by * read #>>>>>/etc/default/slapd SLAPD_CONF= SLAPD_USER= SLAPD_GROUP= SLAPD_PIDFILE= SLURPD_START=auto TRY_BDB_RECOVERY=yes SLAPD_SERVICES="ldap://127.0.0.1:389/" SLAPD_OPTIONS="" SLURPD_OPTIONS="" #>>>>>/etc/nsswitch.conf passwd: files ldap group: files ldap shadow: files ldap hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis #>>>>>/etc/libnss-ldap.conf host 127.0.0.1 base dc=eol,dc=lvk,dc=cs,dc=msu,dc=su uri ldap://127.0.0.1/ ldap_version 3 timelimit 30 bind_timelimit 30 pam_password exop #>>>>>/etc/pam.d/common-account account sufficient pam_ldap.so account required pam_unix.so nullok_secure account required pam_permit.so #>>>>>/etc/pam.d/common-auth auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure use_first_pass auth required pam_permit.so #>>>>>/etc/pam.d/common-password password required pam_cracklib.so retry=3 minlen=6 difok=3 password sufficient pam_ldap.so use_authtok password required pam_unix.so md5 nullok use_authtok password required pam_permit.so #>>>>>/etc/pam.d/common-session session required pam_unix.so Начальная схема, которую добавил slapadd'ом # extended LDIF # # LDAPv3 # base <> with scope sub # filter: (objectclass=*) # requesting: ALL # # eol.lvk.cs.msu.su dn: dc=eol,dc=lvk,dc=cs,dc=msu,dc=su objectClass: top objectClass: dcObject objectClass: organization o: eol.lvk.cs.msu.su dc: eol # admin, eol.lvk.cs.msu.su dn: cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator userPassword:: some_secret :P # People, eol.lvk.cs.msu.su dn: ou=People,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su objectClass: organizationalUnit ou: People # Group, eol.lvk.cs.msu.su dn: ou=Group,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su objectClass: top objectClass: organizationalUnit ou: Group Все файлы из 1й команды должны быть дотупны на чтение всем! После того, как это все заработает, рекомендуется прикрутить-таки nscd (его вообще никак не конфигурил, все по-умолчанию.) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]