Eu resolvi isso. O problema causou o f * cking nscd caching daemon !!!! Eu recomendo desinstalá-lo durante o teste.
Eu consegui instalar o SSH + LDAP, além disso eu autentico os usuários através do pam_groupdn - se um usuário estiver no grupo apropriado, ele poderá acessar o servidor.
Isso faz parte do meu pam.d
account sufficient pam_ldap.so
account sufficient pam_unix.so
Parte do pam_ldap.conf
# Group to enforce membership of
pam_groupdn cn=ldapclient,ou=group,dc=aaaa,dc=zzzz
# Group member attribute
pam_member_attribute memberUid
Se eu desativar pam_unix.so tudo está indo bem. O usuário é negado se não estiver no grupo. Mas eu não posso ter pam_unix.so desativado, porque se o servidor LDAP está offline eu teria sérios problemas para efetuar login, mesmo localmente.
Se pam_unix.so estiver ativado:
gigi@0's password:
You must be a memberUid of cn=ldapclient,ou=group,dc=aaaa,dc=zzzz to login.
Linux testing 2.6.26-2-686 #1 SMP Thu Sep 16 19:35:51 UTC 2010 i686
....
e o usuário tem permissão para fazer login, mesmo que ele não esteja no grupo.
Encontrei alguma solução com /etc/security/access.conf, mas gostaria de evitar isso. Alguma ajuda?
Obrigado, Martin
Eu resolvi isso. O problema causou o f * cking nscd caching daemon !!!! Eu recomendo desinstalá-lo durante o teste.
Eu estava com o mesmo problema. Eu resolvi adicionar o valor "shadowAccount" no atributo "objectClass".
Agora, os usuários têm no objectClass esses valores: inetOrgPerson, posixAccount, shadowAccount
Eu deixei minha commom_account assim:
conta pam_ldap.so suficiente conta exigida pam_unix.so
e tudo corre bem!
Danilo.