[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:43829] Re: LDAPを用いたsshログイン
- From: Tetsuya KOBAYASHI <tkoba@xxxxxxxxxxxxxxxxxxxxxxx>
- Subject: [debian-users:43829] Re: LDAPを用いたsshログイン
- Date: Thu, 23 Jun 2005 05:28:25 +0900
- List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
- List-id: debian-users.debian.or.jp
- List-owner: <mailto:debian-users-admin@debian.or.jp>
- List-post: <mailto:debian-users@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
- X-face: @Q^#&|%]QUdDK>tR?5hx&H4(oTRP_"$hm!rtB>XZ!]&K[b>XINUE0(2g9'77Ao7n95~LJ!x XD?%*K(e?&if^GBWp~/.sE.3*AKtr#E]*PhPPO/'~I;pI,4E^gbk#-4\Oat/0P!aIcp]e_9g5|jvpp 8*QdG
- X-from-domain: sodan.ecc.u-tokyo.ac.jp
- X-from-email: tkoba@xxxxxxxxxxxxxxxxxxxxxxx
- X-ip: 210.235.240.227
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-original-to: debian-users@debian.or.jp
- X-spam-level:
- X-spam-status: No, hits=-0.9 required=10.0 tests=EIGHTBIT_BODY,IN_REP_TO,ISO2022JP_BODY,ISO2022JP_CHARSET, REFERENCES,SIGNATURE_SHORT_DENSE,SPAM_PHRASE_00_01 version=2.44
- References: <BB8E48DB-52C4-43A7-9F8C-7FA323A2E750@xxxxxxxxxxxxxxxxxxxxxx>
- Message-id: <1119472104921669.352604825@xxxxxxxxxxxxxxxxxxxxxxxxx>
- X-mail-count: 43829
- X-mailer: Becky! ver. 2.21.02 [ja]
小林といいます。ML に投稿するのは初めてです。
Debian ではありませんが、Linux の distribution で LDAP 認証サーバ(とクライ
アント)を設定したときのノウハウをまとめるつもりで書きます。実際に設定して確
認したわけではないので多少間違っているかもしれませんがそのときはツッコミを
お願いします。_(._.)_
/etc/pam_ldap.conf と /etc/libnss_ldap.conf に "host <LDAP サーバ名>" と
"base <base DN>" の2行を追加します (Debian ではこのはずですが、
distribution によっては /etc/ldap.conf を編集するものもあります)。もしかし
たら apt-get install のときに設定を求められたかもしれません。
NSS で LDAP を使ってアカウント情報が引けるようにするため、"password:",
"group:", "shadow:" で始まる行それぞれに "ldap" を追加してください。
Sarge の openssh パッケージは --with-pam 付のバージョン 3.8.1p1 (現時点で)
のようですから、/etc/ssh/sshd_config ファイルに "UsePAM yes" の一行を追加す
れば PAM を利用した keyboard-interactive 認証が行われるようになるでしょう。
cf. http://www.openssh.com/ja/faq.html#3.15
PAM モジュールが LDAP を利用するように、/etc/pam.d/common-{account,auth,
password,session} を編集する必要があります (distribution によっては
/etc/pam.d/system-auth だったりします)。それぞれ次のようにする
(pam_ldap.so の行を追加する)とよさそうな感じです。
account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore authinfo_unavail=ignore] pam_ldap.so
account required pam_unix.so
auth sufficient pam_ldap.so use_first_pass
auth required pam_unix.so nullok_secure
password sufficient pam_ldap.so use_authtok
password required pam_unix.so nullok obscure min=4 max=8 md5
session required pam_unix.so
session optional pam_ldap.so
rsh は試したことがありませんが、PAM に対応していれば ssh と同様でしょう。
--
Tetsuya KOBAYASHI <tkoba@xxxxxxxxxxxxxxxxxxxxxxx>