# SSH-auth mit PAM und LDAP

## ITFriend

Hallo zusammen,

ich habe jetzt eingerichtet, dass die unix-accounts in ldap gespeichert werden.

Jedoch weiß ich nicht, ob ich PAM richtig konfiguriert habe.

Ich hab mich zwar an die Anleitung gehalten.

Jedoch hat das Authentifizieren per SSH so nicht geklappt.

Ich hab unter /etc/pam.d/sshd folgende Einträge gemacht:

```

# cat /etc/pam.d/sshd

auth            sufficient      pam_ldap.so             no_warn try_first_pass

account         sufficient      pam_ldap.so

password        sufficient      pam_ldap.so             no_warn try_first_pass

auth       include   system-remote-login

account    include   system-remote-login

password   include   system-remote-login

session      include   system-remote-login

```

Die restlichen pam-config sehen so aus:

```

# cat /etc/pam.d/system-remote-login 

auth      include      system-login

account      include      system-login

password   include      system-login

session      include      system-login

# cat /etc/pam.d/system-login 

auth      required   pam_tally2.so onerr=succeed

auth      required   pam_shells.so 

auth      required   pam_nologin.so 

auth      include      system-auth

account      required   pam_access.so 

account      required   pam_nologin.so 

account      include      system-auth

account      required   pam_tally2.so onerr=succeed 

 

password   include      system-auth

session         optional        pam_loginuid.so

session      required   pam_env.so 

session      optional   pam_lastlog.so 

session      include      system-auth

session      optional   pam_motd.so motd=/etc/motd

session      optional   pam_mail.so

# cat /etc/pam.d/system-login 

auth      required   pam_tally2.so onerr=succeed

auth      required   pam_shells.so 

auth      required   pam_nologin.so 

auth      include      system-auth

account      required   pam_access.so 

account      required   pam_nologin.so 

account      include      system-auth

account      required   pam_tally2.so onerr=succeed 

 

password   include      system-auth

session         optional        pam_loginuid.so

session      required   pam_env.so 

session      optional   pam_lastlog.so 

session      include      system-auth

session      optional   pam_motd.so motd=/etc/motd

session      optional   pam_mail.so

# cat /etc/pam.d/system-auth 

auth      required   pam_env.so 

auth      required   pam_unix.so try_first_pass likeauth nullok 

auth      sufficient   pam_ldap.so use_first_pass

auth      optional   pam_permit.so

 

account      sufficient   pam_ldap.so

account      required   pam_unix.so 

account      optional   pam_permit.so

 

password   required   pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3 

password   required   pam_unix.so try_first_pass use_authtok nullok sha512 shadow

password   sufficient   pam_ldap.so use_authtok use_first_pass 

password        sufficient      pam_smbpass.so use_authtok nullok use_first_pass

password   optional   pam_permit.so

 

session      required   pam_limits.so 

session      required   pam_env.so 

session      required   pam_unix.so

session      optional   pam_ldap.so

session      optional   pam_permit.so

# cat /etc/nsswitch.conf 

# /etc/nsswitch.conf:

# $Header: /var/cvsroot/gentoo/src/patchsets/glibc/extra/etc/nsswitch.conf,v 1.1 2006/09/29 23:52:23 vapier Exp $

passwd:      compat ldap

shadow:      compat ldap

group:       compat ldap

# passwd:    db files nis

# shadow:    db files nis

# group:     db files nis

hosts:       files dns

networks:    files dns

services:    db files

protocols:   db files

rpc:         db files

ethers:      db files

netmasks:    files

netgroup:    files

bootparams:  files

automount:   files

aliases:     files

```

Es funktioniert, aber ich weiß nicht, ob die Reihenfolge richtig ist.

Bis dann

ITFriend

[edit]system-auth vergessen[/edit]

----------

## ITFriend

ok, ich bin inzwischen soweit, dass ich weiß, dass ich in /etc/pam.d/sshd nur folgende Zeilen brauch:

```
auth            sufficient      pam_ldap.so             no_warn try_first_pass

#account         sufficient      pam_ldap.so

#password        sufficient      pam_ldap.so             no_warn try_first_pass

auth       include      system-remote-login

account    include      system-remote-login

password   include      system-remote-login

session    include      system-remote-login

```

----------

## ITFriend

ich hab jetzt die /etc/pam.d/system-auth angepasst:

```
auth            required        pam_env.so

auth            sufficient      pam_ldap.so try_first_pass

auth            required        pam_unix.so use_first_pass likeauth nullok

auth            optional        pam_permit.so

```

Jetzt benötige ich keinen extra Eintrag in /etc/pam.d/sshd.

Hab ich das so korrekt gemacht?

----------

