[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:43829] Re: LDAPを用いたsshログイン



小林といいます。ML に投稿するのは初めてです。

Debian ではありませんが、Linux の distribution で LDAP 認証サーバ(とクライ
アント)を設定したときのノウハウをまとめるつもりで書きます。実際に設定して確
認したわけではないので多少間違っているかもしれませんがそのときはツッコミを
お願いします。_(._.)_

/etc/pam_ldap.conf と /etc/libnss_ldap.conf に "host <LDAP サーバ名>" と
"base <base DN>" の2行を追加します (Debian ではこのはずですが、
distribution によっては /etc/ldap.conf を編集するものもあります)。もしかし
たら apt-get install のときに設定を求められたかもしれません。

NSS で LDAP を使ってアカウント情報が引けるようにするため、"password:",
"group:", "shadow:" で始まる行それぞれに "ldap" を追加してください。

Sarge の openssh パッケージは --with-pam 付のバージョン 3.8.1p1 (現時点で)
のようですから、/etc/ssh/sshd_config ファイルに "UsePAM yes" の一行を追加す
れば PAM を利用した keyboard-interactive 認証が行われるようになるでしょう。
cf. http://www.openssh.com/ja/faq.html#3.15

PAM モジュールが LDAP を利用するように、/etc/pam.d/common-{account,auth,
password,session} を編集する必要があります (distribution によっては
/etc/pam.d/system-auth だったりします)。それぞれ次のようにする
(pam_ldap.so の行を追加する)とよさそうな感じです。

account    [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore authinfo_unavail=ignore] pam_ldap.so
account    required     pam_unix.so

auth       sufficient   pam_ldap.so use_first_pass
auth       required     pam_unix.so nullok_secure

password   sufficient   pam_ldap.so use_authtok
password   required     pam_unix.so nullok obscure min=4 max=8 md5

session    required     pam_unix.so
session    optional     pam_ldap.so

rsh は試したことがありませんが、PAM に対応していれば ssh と同様でしょう。

-- 
Tetsuya KOBAYASHI <tkoba@xxxxxxxxxxxxxxxxxxxxxxx>