web-dev-qa-db-ja.com

PAM、nsswitch、およびLDAP構成


LDAPに関する2種類の構成、pam構成ファイルとnsswitch.confについて、技術的かつ正確な質問があります。
passwd_compat構成とpam_listの違いはどれですか?
私はかなり混乱しています...事前に感謝します。
フィリッポ

2
Possa

私があなたの質問を誤解していない限り、あなたは2つの異なることを混同しているように見えます。これは、おそらくあなたの混乱につながります。

pam_listはアカウント認証モジュールです。つまり、特定のマシンでユーザーのアカウントが「有効」であるかどうかを判断する方法を指定できます。詳細については、pam_listのマニュアルページを参照してください。特定のホスト上の特定のユーザーを許可/拒否するには、PAM構成ファイルでpam_listを使用します。
pam_listallowまたはdenyファイルで使用でき、NISが従来と同じように機能する「compat」オプションもあります(+および-/etc/passwdの行)。
詳細については、 pam_listのマニュアルページ を参照してください。

LDAP(pam_ldapなど)を使用している場合は、ユーザー認証を行う「より良い」方法があります。通常は、LDAPグループまたはOUを使用してアクセスを制御します。
詳細については、LDAPPAMモジュールの適切なドキュメントを参照してください。


passwd_compatは、nsswitch.confに表示される「疑似データベース」です。 LDAPを使用している場合、通常はLDAPをpasswdおよびgroupデータベースの一部としてリストし、LDAP-nsswitchインターフェイスモジュール(nss_ldapなど)がLDAPルックアップビットの実行を処理します。必要に応じて、passwd_compatをnisまたはldapを指すように設定することもできます。通常、これは次のような結果になります。

 passwd: compat
 passwd_compat files ldap  

nsswitch.confのマニュアルページは、これに関する優れた情報源です。 O'Reillyの本 NFSとNISの管理 -約10歳(第2版)にもいくつかの洞察がありますが、それでも一般的に適用できます。
O'ReillyにもLDAPブックが出ていると思いますが、nsswitchまたはPAMについて何か説明されているかどうかはわかりません...

3
voretaq7