Ověření uživatele u linuxu
K ověření uživatele se u linuxu používají tzv. PAM moduly (Pluggable Authentication Modules). Konfigurace těchto PAM modulů určuje které a v jakém pořadí se mají vyzkoušet, a jak má eventuálně systém reagovat v případě že ověření selže.
Celá konfigurace může být v jednom konfiguračním souboru /etc/pam.conf, ale u Debianu je ve výchozím stavu konfigurace PAM modulů rozdělena do několika samostatných konfiguračních souborů s příponou .conf v adresáři /etc/pam.d.
|
Debian použije soubor /etc/pam.conf pouze v případě že adresář /etc/pam.d neexistuje.
|
Jak probíhá přihlašovací proces lze kontrolovat na průběžném výpise logovacího souboru /var/log/auth.log. To je důležité vědět, pokud potřebujeme zjistit v jakém pořadí a které PAM moduly se volají.
|
Aug 15 11:31:27 stroj login[2924]: pam_krb5(login:auth): user usenameX authenticated as usernameX@CVUT.CZ
Aug 15 11:31:27 stroj login[2924]: pam_unix(login:account): could not identify user (from getpwnam(usernameX))
Aug 15 11:31:27 stroj login[2924]: Authentication failure
|
Z ukázkového výpisu lze kupř. vyčíst, že ověření uživatele usernameX oproti kerberos serveru proběhlo v pořádku, ale přihlašovací proces selhal u PAM modulu pam_unix, kterému se nepodařilo zjistit jeho UID - pro uživatele usernameX neexistuje lokální účet.
Autorizace přes Kerberos
krb5 -> Novellovská nds -> lokální přihlášení
- ntp - konfigurace časové zóny
- libnss-ldap - konfigurace Novellovského ldapu
Konfigurace nds
Ověření funkčnosti ldapu
id username
Je třeba pohlídat správnost uživatele a heslo pro ověření v NDS
cn=ldapuser,ou=felk,o=cvut,c=cz