[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:25210] Re: PAM, pam_ldap
-
From:TANAKA _FORZA_ Toshihisa
-
Date:Thu, 31 Mar 2005 00:51:35 +0900 (JST)
- Subject: [plamo:25210] Re: PAM, pam_ldap
- From: TANAKA _FORZA_ Toshihisa <tosihisa@xxxxxxxxxxxxx>
- Date: Thu, 31 Mar 2005 00:39:36 +0900
- User-agent: Mozilla Thunderbird 1.0 (X11/20041206)
としです。
KATOH Yasufumi wrote:
>この辺りドキュメントがまとまってないのが Linux の弱点と言えば弱点です
>ねぇ.
>
>
はい。PAM は、割合便利な機能ですが、ユーザ側から見ても、プログラマ
側から見ても、ちょっと情報が無くて使いこなしにくいですね。
個人的には、この辺は大変大変まとめたいのですが、最近は遠距離勤務で
時間を取りにくいです。
後、PAM 関係で参考になる URL は、
http://www.stackasterisk.jp/tech/systemManagement/pam01_01.jsp
や、プログラマ向きとしては、
http://docs.hp.com/ja/B2355-90856/
も参考になるかと思います。
> これ,おっしゃるように認証の段階で出ているっぽいですね.sshd の PAM の
>
>設定がボケている可能性大ですね.今は "auth" は
>
>auth sufficient /lib/security/pam_unix.so shadow
>auth sufficient /lib/security/pam_ldap.so use_first_pass
>
>となっていますが (auth の時に shadow ってのは不要かな?),こうなってい
>る限りは仕方がないのかな?
>
>
そうですね...。今、Plamo 4.0 & LDAP 認証環境は手元に無いのですが、
RedHat 9 の LDAP 認証でも、同じ様なエラーが出ています。
それと、"shadow" に関しては、/etc/passwd のパスワード文字フィー
ルドが "x" ならば、自動的に /etc/shadow による認証を行いますので、
不要と言えば不要ですが、まぁ、shadow を定義すれば、必ず
/etc/shadow で認証しますので、少しは安心かと...。
>とりあえず LDAP 認証を先に済ませれば pam_unix には制御が移りませんから,
>
>auth sufficient /lib/security/pam_ldap.so
>auth sufficient /lib/security/pam_unix.so use_first_pass
>
>みたいにしましたが...
>
>
これでも良いのですが、個人的には、エラーが残る事を気にしないなら
ば、pam_unix.so を前に持っていく方が良いかな...と考えています。
と言うのも、これは RedHat 9 で LDAP 認証を優先にしている時に
経験したのですが、もし、LDAP が別のホストで稼働しており、ネット
越しに認証する場合、ネットワークがコケていると、誰もログインでき
ない状態になる様です。
#LDAP サーバに問い合わせが出来た上で、認証レベルでエラーとなる
#ならば、次の pam_unix.soに制御が移りますが、LDAP サーバとネット
#的に接続できない場合が、すこし怪しそうなのです。
root でもログインできないとなると、かなり致命的ですので、出来れば、
root に関しては LDAP 認証を使わずに、ローカルの /etc/shadow で認証
する様にしておけば、ネットワークがダウンしていても root でならば
ログインできます。
あ、でも、加藤さんの方では、sshd での認証時と言うことですよね?。
だったら、LDAP 認証が先でも問題は無いかと思います。
#リモートで root ログインはされないだろうと言う前提ですf(^^;;
もし、LDAP 認証を、sshd のみならず、通常認証でも使用する場合は、
この辺は注意点になるかなと思います。
ではこれにて。
- References
-
- [plamo:25192] PAM, pam_ldap, KATOH Yasufumi
- [plamo:25198] Re: PAM, pam_ldap, TANAKA _FORZA_ Toshihisa
- [plamo:25202] Re: PAM, pam_ldap, KATOH Yasufumi
[検索ページ]
[メール一覧]
Plamo ML 公開システム