Q&A
前提
認証システムとして以下の2つを準備しています。
・Active Directoryサーバーでのアカウント認証(LDAP)
・linuxOSのアカウント認証
linuxOSにログオンする際に
これらのどちらかの認証システムを利用する設定にしています。
実現したいこと
/etc/pam.d/common-authの設定を変更することにより
ログオンする際にどちらの認証システムを先に参照するか設定したいです。
具体的は以下のようなことを実現したいです
Active Directory(LDAP)アカウント認証を行い、ユーザがいなければ
linuxOSのアカウント認証をおこないユーザがいればログオンできる状態にしたいのですが
設定を変更してもLDAP⇒ローカルアカウントの順に動作しませんでした。
(ローカルアカウント⇒LDAPの順に確認している動作になっていました)
お手数ですが、認証順序を変更する方法をご存知の方がいらっしゃればご教示ください。
発生している問題・エラーメッセージ
該当のソースコード
試したこと
common-authに以下の追記をしてみましたが
認証確認の優先順位は変わりませんでした。
auth [success=2 default=ignore] pam_ldap.so
auth [success=1 default=ignore] pam_unix.so nullok_secure user_first_pass
回答1件
0
ベストアンサー
pam_ldap.so を先に(上に)設定して、sufficient ([success=done new_authtok_reqd=done default=ignore]) でいいはずです。
pam_unix.so のオプションは Typo でしょうか?
(auth の他の設定) auth sufficient pam_ldap.so try_first_pass auth sufficient pam_unix.so nullok use_first_pass (auth の他の設定)
設定を変更してもLDAP⇒ローカルアカウントの順に動作しませんでした。
どのように確認しましたか?
LDAP 側で BIND のログを出力するようにしておいて、LDAP クライアントからユーザーの DN で認証 BIND が行なわれるかどうか確認すると順序がわかると思います。
- pam_ldap.so が先 → BIND
- pam_unix.so が先、かつ、認証に成功(success=done) → pam_ldap.so はスキップし BIND しない
- pam_unix.so が先、かつ、認証に失敗(default=ignore) → pam_ldap.so に進み BIND
(2022/10/03 22:07) 追記
UID, GID などは PAM 認証・認可後の nsswitch の話です。
/etc/nsswitch.conf の passwd:, group: 行の files, ldap の順序によります。
getent passwd で該当ユーザーが 2行あって、先に見つかった方が getent passwd 該当ユーザー で表示され、UID, GID はそちらが使われるのだと思います。
投稿2022/10/03 09:22
編集2022/10/03 13:08
総合スコア12146
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2022/10/03 12:32
2022/10/05 07:16