Andesi - forum
Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
#1 05/12/2007 09:28:58
- ben25
- Membre
- Inscription : 28/02/2006
- Messages : 8
PAM/LDAP
Bonjour
Je souhaite savoir comment dire à PAM de ne pas faire de requete LDAP pour tous les utilisateurs dont l'uid est < 1000.
Est-ce dans le common-password que cela se passe ?
(J'ai posté le même sujet dans la rubrique divers...mais finalement je pense que ce sujet à plus sa place dans réseau)
Merci d'avance
Hors ligne
#2 05/12/2007 11:31:14
- ioguix
- Administrator
- Lieu : Paris
- Inscription : 25/04/2003
- Messages : 3 945
Re : PAM/LDAP
Salut,
Normalement, tu n'as pas besoin de lui préciser si tu respectes un certain ordre dans tes configurations common-auth, common-password et common-account.
Effectivement, l'ordre des modules et leur contrainte (control) importe ../../forum_subdomain/beaucoup._En_plaçant_ton_module_ldap_après_le_module_unix_par_défaut_et_que_tu_configures_le_unix_en__quot.css;sufficient", ton module ldap ne devrait pas être utilisé car le module unix trouvera les UID/GID < 1000 lui même.
Je pourrais te confirmer ça un peu plus tard une fois devant mes serveurs, mais pour le moment, c'est déjà une sacré piste pour ta réponse. Ajoute un ça un petit "man pam" ou "man pam.conf" et tu sera tout bon.
++
[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222
Hors ligne
#3 05/12/2007 12:50:19
- ben25
- Membre
- Inscription : 28/02/2006
- Messages : 8
Re : PAM/LDAP
Salut,
Voici donc mes fichiers :
# /etc/pam.d/common-account - authorization settings common to all services
account sufficient pam_unix.so
account sufficient pam_ldap.so
# /etc/pam.d/common-auth - authentication settings common to all services
auth required pam_env.so
auth sufficient pam_unix.so use_first_pass
auth sufficient pam_ldap.so
auth required pam_deny.so
# /etc/pam.d/common-password - password-related modules common to all services
password required pam_cracklib.so retry=3 minlen=6
password sufficient pam_unix.so use_authtok md5 shadow
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
# /etc/pam.d/common-session - session-related modules common to all services
session required pam_limits.so
session sufficient pam_unix.so
session optional pam_ldap.so
Mon problème est que depuis que j'ai installé PAM, postfix effectue des requetes LDAP... C'est pourquoi je cherche à préciser à PAM de ne pas effectuer de requetes pour les uid<1000
Dernière modification par ben25 (05/12/2007 17:36:16)
Hors ligne
#4 05/12/2007 17:56:22
- ben25
- Membre
- Inscription : 28/02/2006
- Messages : 8
Re : PAM/LDAP
Bon après avoir fouillé un peu partout je suis arrivé à une solution...mais pas celle que je souhaitais.
L'idée était que certains utilisateurs n'effectue pas de requete LDAP, ainsi en ajoutant cette ligne dans /etc/pam_ldap.conf j'ai solutionné mon problème :
nss_initgroups_ignoreusers root,openldap,postfix
Néanmoins je reste persuadé qu'il est possible de dire a PAM de ne pas effectuer de requete LDAP pour les uid < 1000 (ou 10000 même).
Il faut peut-être s'interesser aux fichiers dans /etc/security....??
En tout cas merci 
Hors ligne
#5 05/12/2007 19:23:39
- ioguix
- Administrator
- Lieu : Paris
- Inscription : 25/04/2003
- Messages : 3 945
Re : PAM/LDAP
Et bien je sais pas, je ne suis pas expert niveau LDAP, mais peut-être faut-il commencer par savoir pourquoi postfix accède à ton LDAP...
Voir aussi du coté de la config pam pour postfix si elle existe et est utilisée (postfix peut utiliser pam ?) ?
[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222
Hors ligne