Estoy intentando autenticar usuarios via LDAP usando el modulo pam-ldap. He seguido la documentación de http://wiki.debian.org/LDAP, de la web de padl (creadores del nss-ldap i el pam-ldap) y varios foros.
Tengo instalado y configurado OpenLDAP i el NSS funciona correctamente para resolver todos los mapas (passwd,groups,shadow, hosts, ...) mapear uids i gids y todo lo de más, el problema lo tengo con autentificar usuarios. Si configuro el módulo NSS para conectarse (bind) como usuario privilegiado (de tal forma que pueda ver los hashes de los passwords de shadow) y los passwords se guardan en LDAP con formato clear (claro) o (md5) puedo autentificar usuarios perfectamente. Pero no quiero que NSS acceda al shadow, sino que el PAM-LDAP haga un bind como el usuario a autenticar (y así evitar guardar usuarios/passwords con acceso al LDAP en ficheros). Sé que se puede hacer, de hecho la documentación de http://wiki.debian.org/LDAP/PAM (y otros) así lo indica. Lo que yo quiero es implementar el primer método ahí comentado: There are basically two ways to configure PAM to use LDAP credentials. The first way uses the pam_ldap module from the libpam-ldap package to try to log into the LDAP server when checking passwords. With the second way password hashes are exposed from the LDAP server to the clients using NSS and use the traditional pam_unix module does authentication. pam_ldap can be used in this situation to change passwords. Both solutions have their pros and cons. In both cases the users should be exposed through NSS. Only for the second way it is needed for getent shadow to return password hashes when run as root. The pure pam_ldap solution allows limiting logins by how users are stored in the directory (e.g. only allow logins for users in a certain piece of the directory, require some attribute, etc). It also requires less access rights to the LDAP directory and does not expose password hashes. Pero no lo consigo (la documentación sólo explica la configuración de los modulos PAM, no del fichero pam_ldap.conf) y no sé como 'depurar' y ver los pasos que hace el módulo PAM-ldap para autentificar el usuario. Alguna pistilla? Muchas gracias. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1275775306.1743.16.ca...@nexus.l3jane.net