[plamo:25210] Re: PAM, pam_ldap

[TANAKA _FORZA_ Toshihisa]

としです。

KATOH Yasufumi wrote:

>この辺りドキュメントがまとまってないのが Linux の弱点と言えば弱点です
>ねぇ．
>  
>
はい。PAM は、割合便利な機能ですが、ユーザ側から見ても、プログラマ
側から見ても、ちょっと情報が無くて使いこなしにくいですね。

個人的には、この辺は大変大変まとめたいのですが、最近は遠距離勤務で
時間を取りにくいです。

後、PAM 関係で参考になる URL は、

http://www.stackasterisk.jp/tech/systemManagement/pam01_01.jsp

や、プログラマ向きとしては、

http://docs.hp.com/ja/B2355-90856/

も参考になるかと思います。

> これ，おっしゃるように認証の段階で出ているっぽいですね．sshd の PAM の
>
>設定がボケている可能性大ですね．今は "auth" は
>
>auth       sufficient   /lib/security/pam_unix.so shadow
>auth       sufficient   /lib/security/pam_ldap.so use_first_pass
>
>となっていますが (auth の時に shadow ってのは不要かな？)，こうなってい
>る限りは仕方がないのかな？
>  
>
そうですね...。今、Plamo 4.0 & LDAP 認証環境は手元に無いのですが、
RedHat 9 の LDAP 認証でも、同じ様なエラーが出ています。

それと、"shadow" に関しては、/etc/passwd のパスワード文字フィー
ルドが "x" ならば、自動的に /etc/shadow による認証を行いますので、
不要と言えば不要ですが、まぁ、shadow を定義すれば、必ず
/etc/shadow で認証しますので、少しは安心かと...。

>とりあえず LDAP 認証を先に済ませれば pam_unix には制御が移りませんから，
>
>auth       sufficient   /lib/security/pam_ldap.so 
>auth       sufficient   /lib/security/pam_unix.so use_first_pass
>
>みたいにしましたが...
>  
>
これでも良いのですが、個人的には、エラーが残る事を気にしないなら
ば、pam_unix.so を前に持っていく方が良いかな...と考えています。

と言うのも、これは RedHat 9 で LDAP 認証を優先にしている時に
経験したのですが、もし、LDAP が別のホストで稼働しており、ネット
越しに認証する場合、ネットワークがコケていると、誰もログインでき
ない状態になる様です。
＃LDAP サーバに問い合わせが出来た上で、認証レベルでエラーとなる
＃ならば、次の pam_unix.soに制御が移りますが、LDAP サーバとネット
＃的に接続できない場合が、すこし怪しそうなのです。

root でもログインできないとなると、かなり致命的ですので、出来れば、
root に関しては LDAP 認証を使わずに、ローカルの /etc/shadow で認証
する様にしておけば、ネットワークがダウンしていても root でならば
ログインできます。

あ、でも、加藤さんの方では、sshd での認証時と言うことですよね？。
だったら、LDAP 認証が先でも問題は無いかと思います。
＃リモートで root ログインはされないだろうと言う前提ですf(^^;;

もし、LDAP 認証を、sshd のみならず、通常認証でも使用する場合は、
この辺は注意点になるかなと思います。

ではこれにて。