dr inż. Grzegorz Śliwiński

  • Zwiększ rozmiar czcionki
  • Domyślny  rozmiar czcionki
  • Zmniejsz rozmiar czcionki

Autoryzacja 2

Email Drukuj PDF
  1. Zainstaluj pakiet "libpam-ldap". Prawdopodobnie otrzymasz komunikat, że pakiet jest już zainstalowany. Został dołączony przy poprzednim laboratorium.
  2. Nastepujące polecenia powinny być rozpoznawane prawidłowo w systemie:
  3. id user1
    cd ~user1    (tylko po ponownym zalogowaniu się do putty)

  4. System PAM wykorzystuje ten sam plik konfiguracji ("/etc/ldap.conf") jak libnss-LDAP. System automatycznie również skonfiguruje dostęp w systemie PAM wewnątrz katalogu /etc/pam.d należy jedynie sprawdzić poprawność wpisów.
    NIE WOLNO NIC ZMIENIAĆ - tylko sprawdzić !!!!!!!!!!!!! czy występują w każdym pliku pozycje na czerwono !!! Jeśli tak o wszystko OK.
  5. Prawidłowa postać wszystkich wpisów:
    • common-account:

      # here are the per-package modules (the "Primary" block)
      account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
      account [success=1 default=ignore] pam_ldap.so
      # here's the fallback if no module succeeds
      account requisite pam_deny.so
      # prime the stack with a positive return value if there isn't one already;
      # this avoids us returning an error just because nothing sets a success code
      # since the modules above will each just jump around

      account required pam_permit.so
      # and here are more per-package modules (the "Additional" block)
      # end of pam-auth-update config

    • common-auth:

      # here are the per-package modules (the "Primary" block)
      auth [success=2 default=ignore] pam_unix.so nullok_secure
      auth [success=1 default=ignore] pam_ldap.so use_first_pass
      # here's the fallback if no module succeeds
      auth requisite pam_deny.so
      # prime the stack with a positive return value if there isn't one already;
      # this avoids us returning an error just because nothing sets a success code
      # since the modules above will each just jump around

      auth required pam_permit.so
      # and here are more per-package modules (the "Additional" block)
      # end of pam-auth-update config

    • common-password:

      # here are the per-package modules (the "Primary" block)
      password [success=2 default=ignore] pam_unix.so obscure sha512
      password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass

      # here's the fallback if no module succeeds
      password requisite pam_deny.so
      # prime the stack with a positive return value if there isn't one already;
      # this avoids us returning an error just because nothing sets a success code
      # since the modules above will each just jump around

      password required pam_permit.so
      # and here are more per-package modules (the "Additional" block)
      # end of pam-auth-update config

    • common-session:

      # here are the per-package modules (the "Primary" block)
      session [default=1] pam_permit.so
      # here's the fallback if no module succeeds
      session requisite pam_deny.so
      # prime the stack with a positive return value if there isn't one already;
      # this avoids us returning an error just because nothing sets a success code
      # since the modules above will each just jump around

      session required pam_permit.so
      # and here are more per-package modules (the "Additional" block)
      session required pam_unix.so
      session optional
      pam_ldap.so
      # end of pam-auth-update config

    • common-session-noninteractive:

      # here are the per-package modules (the "Primary" block)
      session [default=1] pam_permit.so
      # here's the fallback if no module succeeds
      session requisite pam_deny.so
      # prime the stack with a positive return value if there isn't one already;
      # this avoids us returning an error just because nothing sets a success code
      # since the modules above will each just jump around

      session required pam_permit.so
      # and here are more per-package modules (the "Additional" block)
      session required pam_unix.so
      session optional pam_ldap.so
      # end of pam-auth-update config

  6. Prawidłowo wykonane wpisy po zrestartowaniu usługi SSH powinny pozwolić na zalogowanie się przy pomocy użytkownika z LDAP do systemu.
    restart: /etc/init.d/ssh restart
  7. Połączenie wykonujemy przez kolejną sesję SSH (nowa sesja) i logowaniu się użytkownikiem i hasłem z LDAP
Poprawiony: niedziela, 22 kwietnia 2018 17:10