마지막 날에는 LDAP 인증을 사용하는 Linux 시스템을 설정했지만 모든 것이 제대로 작동하지만 많은 연구를 거친 후에도 NSS 및 PAM에 대해 실제로 이해할 수없는 것이 있습니다.
인용 :
NSS를 통해 관리자는 인증 파일, 호스트 이름 및 기타 정보를 저장하고 검색 할 소스 목록을 지정할 수 있습니다.
과
PAM은 응용 프로그램 및 기본 운영 체제에 구성 가능한 인증 플랫폼을 제공하는 라이브러리 세트입니다.
내가 이해하지 못하는 것은 PAM과 NSS의 작동 방식과 상호 작용 방식입니다. 에서 이 책 아키텍처는 꽤 잘 설명 : 사용에 I의 구성 PAM pam_ldap
LDAP 계정과 pam_unix
로컬 계정에 대한, 나는 구성 nsswitch.conf
로컬 파일 및 LDAP에서 정보를 가져올 수 있습니다.
내가 올바르게 이해했다면 LDAP가 두 번 사용됩니다. 먼저 pam_ldap
NSS가 호출 pam_unix
합니다. 맞습니까? LDAP는 실제로 두 번 사용됩니까? 그러나 왜 NSS와 PAM을 모두 구성해야합니까? PAM은 NSS와 다른 작업을 수행하며 다른 프로그램에서 사용한다고 설명합니다. 그러나이 페이지 에서 읽은 것처럼 NSS 또는 PAM 만 사용할 수 있어야합니다 .
그래서 조금 실험 해 보았고 먼저 LDAP에서 LDAP를 삭제하려고했습니다 nsswitch.conf
(그리고 pam_ldap만으로는 작업을 수행하기에 충분 하지 않은 것처럼 인증이 중지되었습니다 ). 그럼 난 NSS에서 LDAP을 다시 활성화와 나는 PAM 구성에서 삭제 (이 시간 다, 벌금을 일한 것처럼 pam_ldap
쓸모 및 NSS가 충분한 사용자를 인증하기).
이것을 명확히하는 데 도움을 줄 수있는 사람이 있습니까? 미리 감사드립니다.
최신 정보
방금 뭔가를 시도했습니다. pam_ldap
모든 pam 구성 필드에서 모든 항목을 다시 제거 shadow: ldap
했으며 에서도 제거 했습니다 nsswitch.conf
. 지금처럼 모든 시스템이 단지 라인은 다음과 같습니다 passwd: ldap files
과 group: ldap files
에서 nsswitch.conf
. 글쎄 ... LDAP 사용자로 로그인하면 완벽하게 작동합니다.이 두 줄 (+ /etc/ldap.conf
)은 LDAP 인증을 구성하기에 충분합니다.
내 지식에서 NSS와 독립적 인 PAM이지만 테스트 결과 그렇지 않았습니다. 그래서 NSS를 완전히 비활성화하고 PAM 만 사용할 수 있습니까?
getent shadow | grep LDAPUSER
grep LDAPUSER /etc/shadow