Michael Oberg - Freiberuflicher EDV-Berater und Software-Entwickler
Frame Version


pam_ldap

Die "Pluggable Authentication Modules" (PAM) sind bei den meisten Linux-Diensten für die Benutzer-Authentifizierung verantwortlich. Das Modul pam_ldap ermöglicht die Speicherung von Paßwörtern, Benutzerkonten, UNIX-Gruppen und anderen für die Zugriffsrechte wichtigen Daten in der LDAP-Datenbank.

Zur Übersetzung von pam_ldap siehe auch die Abschnitte nss_ldap-207 und pam_ldap-164 im Skript COMPILE-MYLINUX. Der Patch nss_ldap.patch korrigiert eine zu starke Einschränkung des "configure"-Skriptes: Unter myLinux sind neuere Versionen von aclocal und automake installiert, als von dem "configure"-Skript verlangt werden. Die Versionsabfrage wird daher abgeschaltet.

Verbindung zu LDAP

Die Verbindung zwischen pam_ldap und nsswitch (Name Service Switch) wird durch die Datei /etc/ldap.conf hergestellt. Diese Datei ist lediglich ein Link auf die Datei /etc/openldap/ldap.conf, die die Client-Tools von OpenLDAP (ldapsearch, ldapadd, ldapdelete etc.) konfiguriert.

Die Datei /etc/nsswitch.conf gibt an, welche Dienste des Name Service Switch auf LDAP umgestellt werden. Dabei ist die Umstellung von der Form "files ldap", d.h. die ursprünglichen Konfigurationsdateien /etc/passwd, /etc/shadow und /etc/group werden zuerst abgefragt, und nur wenn dort kein Eintrag gefunden wird, wird die Abfrage an openLDAP weitergereicht.

Verbindung zu den Diensten

Die Authentifizierung der einzelnen Dienste wird über die Konfigurationsdateien im Verzeichnis /etc/pam.d geregelt. Die meisten dieser Dateien entsprechen weitgehend den mit pam_ldap ausgelieferten Dateien, abgesehen von auskommentierten Aufrufen von cracklib und pwdb (beide derzeit nicht installiert).

Anpassungen gibt es in den Dateien des Mailsystems, des Webservers und der Secure Shell. Dabei gibt es zwei verschiedene Regelungen, vorgestellt an den Dateien /etc/pam.d/pop und /etc/pam.d/sshd. Die erste stellt sicher, daß sich lediglich LDAP-Benutzer authentifizieren können, nicht aber Benutzer aus dem UNIX-Paßwortsystem /etc/passwd wie beispielsweise die privilegierten Systembenutzer (root, bin etc.). Außerdem wird keine UNIX-Sitzung erlaubt, sondern lediglich die Authentifizierung selbst - mehr wird für das Mailsystem oder Webdienste auch nicht benötigt.

Die Datei für die Secure Shell /etc/pam.d/sshd ermöglicht hingegen auch Systembenutzern aus der /etc/passwd ein Login und eine UNIX-Sitzung.

Die Datei /etc/pam.d/pop ist für eine ganze Reihe von Diensten verantwortlich; zu diesem Zweck ist sie mehrfach verlinkt. Siehe dazu auch den Output des Kommandos ls -l /etc/pam.d/.