LINUX.ORG.RU
ФорумAdmin

аккаунты от ldap а пароли локально на машине

 , , , ,


0

1

как организовать на сервере проверку/получение учетных записей пользователей через ldap, а пароли хранить и создавать локально на сервере. ldap раздает только учетные записи, без паролей. ldap организован через sss. но это уже детали.

По идее, не прописывать в /etc/nsswitch.conf в базе shadow источник ldap, но как это будет работать смотрите сами.

mky ★★★★★ ()
Ответ на: комментарий от mky

да я вот тоже в этом направлении подумал, но не работает. а вот проблема ли здесь. есть еще pam.

Wien_Lynx ()

Непонятно, зачем всё это. Соответствие логин-пароль в такой ситуации придётся хранить локально. Что именно ты хочешь получать из ldap?

И зачем вообще такое понадобилось.

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от Wien_Lynx

Если используется sss, то источником в nsswitch будет он. Если не нужен офлайн логин, то можешь его убрать и делать руками.

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от Ivan_qrt

зачем? требование от заказчика. сейчас у них работает так: учетные записи пользователей через ldap, а аутентификация по керберос. а вот на этой тестовой машине нужно без керберос, а через shadow. причем на ней уже стоит sss.

после добавления пароля пользователя в shadow и удаления sss для shadow в nsswitch все-равно в логах Permission denied & Failad password for user. вообщем я уже заблудился в этом sss, pam и т.д.

Wien_Lynx ()
Ответ на: комментарий от Wien_Lynx

а вот на этой тестовой машине нужно без керберос, а через shadow.

Точно через shadow? Простой бинд по ldaps не пойдёт?

Пароли в shadow откуда должны браться? Забиваться руками/скриптом, или при первом логине браться из ldap и потом сохраняться в shadow? Ещё какая-то информация из ldap'а нужна? Может хватит простой синхронизации учёток с ldap'ом по крону?

Если первое и в ldap нужно проверять только существование учётки/статус, то можно сделать примерно так:

  • Удаляешь на хрен всё, что связано с ldap из nsswitch и из sssd.
  • Пишешь pam-модуль, проверяющий учётку во ldap.
  • Подключаешь этот pam-модуль в pam.d.

В любом случае придётся писать либо sss-плагин, либо pam.

Распиши подробно, как всё должно работать в итоге.

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от Wien_Lynx

А пользователи из ldap вытаскиваются, например, команда id работает?

А вобще, такая задача, походу, будет связана с ковырянием в исходниках всяких утилит и библиотек, чтобы понять как на самом деле идёт авторизация и нужно ли писать свой pam-модуль...

Требование заказчика очень странное и маловероятно что кто-нибудь здесь делал такое, чтобы дать готовое решение.

mky ★★★★★ ()
Ответ на: комментарий от mky

В PAM закомментировать sss в фазе проверки пароля и не сношать моск.

no-dashi ★★★★★ ()
Ответ на: комментарий от mky

id работает,ldap работает.

в общем решили оставить пароли по kerberos.

играться дальше в этом направлении пока нету возможности.

так что всем спасибо.

Wien_Lynx ()
Ответ на: комментарий от no-dashi

это я пробовал. но если это рабочий вариант, значит где-то промахнулся раз не пошло.

Wien_Lynx ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.