Eu tenho algumas instâncias personalizadas construídas no AWS EC2 que estão configuradas com autenticação ldap. Trouxe agora uma das AMIs do EC2 fornecidas pela AWS e estou tentando configurá-la para funcionar com a autenticação pam. Esta é uma configuração relativamente direta, mas por algum motivo, o pam / ldap não está funcionando. Aqui está um breve resumo de como eu configurei a instância, qualquer coisa óbvia que esteja faltando?
Software instalado (yum / rpm, padrão acima e acima, relevante para essa configuração): pam_ldap nss-pam-ldapd
Configuração: /etc/ldap.conf - configurado com uma cópia de um ldap.conf da minha AMI customizada - parâmetros idênticos. Os seguintes parâmetros são usados (valores omitidos, apenas configurações relevantes mostradas - excluindo o ssl / tls config stuff):
uri
timelimit
base
scope
suffix
ldap_version 3
binddn
bindpw
rootbinddn
pam_filter
pam_login_attribute
pam_member_attribute
pam_password
pam_check_host_attr
nss_base_passwd (x 2 of these)
nss_base_shadow
nss_base_group
nss_base_hosts
nss_initgroups_ignoreusers
/etc/nsswitch.conf
passwd: files ldap
shadow: files ldap
group: files ldap
/etc/openldap/ldap.conf
URI ldap://my-ldap-server
BASE dc=organization,dc=com
/etc/pam_ldap.conf - este arquivo está apenas na AMI fornecida pela AWS. Eu copiei a configuração de /etc/ldap.conf para este arquivo para tentar fazer as coisas funcionarem
/etc/pam.d/system-auth (mostrando o contexto de linhas +1 e -1. Linhas adicionadas indicadas com um "+"):
auth sufficient pam_unix.so nullok try_first_pass
+ auth sufficient pam_ldap.so use_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
account sufficient pam_localuser.so
+ account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account sufficient pam_succeed_if.so uid < 500 quiet
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
+ password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session required pam_limits.so
+ session optional pam_mkhomedir.so skel=/etc/skel umask=0077
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
+ session optional pam_ldap.so
Para testar, eu tento getend passwd ou getent group e não vejo nenhuma das minhas entradas baseadas no ldap.
alguma idéia de onde eu estou indo errado? / var / log / messages e secure não dão nenhuma indicação de erros.
Tags pam