LDAPに関する2種類の構成、pam構成ファイルとnsswitch.confについて、技術的かつ正確な質問があります。passwd_compat
構成とpam_list
の違いはどれですか?
私はかなり混乱しています...事前に感謝します。
フィリッポ
私があなたの質問を誤解していない限り、あなたは2つの異なることを混同しているように見えます。これは、おそらくあなたの混乱につながります。
pam_list
はアカウント認証モジュールです。つまり、特定のマシンでユーザーのアカウントが「有効」であるかどうかを判断する方法を指定できます。詳細については、pam_list
のマニュアルページを参照してください。特定のホスト上の特定のユーザーを許可/拒否するには、PAM構成ファイルでpam_list
を使用します。pam_list
はallow
またはdeny
ファイルで使用でき、NISが従来と同じように機能する「compat」オプションもあります(+および-/etc/passwd
の行)。
詳細については、 pam_list
のマニュアルページ を参照してください。
LDAP(pam_ldapなど)を使用している場合は、ユーザー認証を行う「より良い」方法があります。通常は、LDAPグループまたはOUを使用してアクセスを制御します。
詳細については、LDAPPAMモジュールの適切なドキュメントを参照してください。
passwd_compat
は、nsswitch.confに表示される「疑似データベース」です。 LDAPを使用している場合、通常はLDAPをpasswd
およびgroup
データベースの一部としてリストし、LDAP-nsswitchインターフェイスモジュール(nss_ldapなど)がLDAPルックアップビットの実行を処理します。必要に応じて、passwd_compatをnis
またはldap
を指すように設定することもできます。通常、これは次のような結果になります。
passwd: compat
passwd_compat files ldap
nsswitch.conf
のマニュアルページは、これに関する優れた情報源です。 O'Reillyの本 NFSとNISの管理 -約10歳(第2版)にもいくつかの洞察がありますが、それでも一般的に適用できます。
O'ReillyにもLDAPブックが出ていると思いますが、nsswitchまたはPAMについて何か説明されているかどうかはわかりません...