pam ldap autenticação um AWS EC2 ami (ami da Amazon)

1

Eu tenho algumas instâncias personalizadas construídas no AWS EC2 que estão configuradas com autenticação ldap. Trouxe agora uma das AMIs do EC2 fornecidas pela AWS e estou tentando configurá-la para funcionar com a autenticação pam. Esta é uma configuração relativamente direta, mas por algum motivo, o pam / ldap não está funcionando. Aqui está um breve resumo de como eu configurei a instância, qualquer coisa óbvia que esteja faltando?

Software instalado (yum / rpm, padrão acima e acima, relevante para essa configuração): pam_ldap nss-pam-ldapd

Configuração: /etc/ldap.conf - configurado com uma cópia de um ldap.conf da minha AMI customizada - parâmetros idênticos. Os seguintes parâmetros são usados (valores omitidos, apenas configurações relevantes mostradas - excluindo o ssl / tls config stuff):

uri
timelimit
base
scope
suffix
ldap_version 3
binddn
bindpw
rootbinddn

pam_filter
pam_login_attribute
pam_member_attribute
pam_password
pam_check_host_attr

nss_base_passwd (x 2 of these)
nss_base_shadow
nss_base_group
nss_base_hosts

nss_initgroups_ignoreusers

/etc/nsswitch.conf

passwd:     files ldap
shadow:     files ldap
group:      files ldap

/etc/openldap/ldap.conf

URI ldap://my-ldap-server
BASE dc=organization,dc=com

/etc/pam_ldap.conf - este arquivo está apenas na AMI fornecida pela AWS. Eu copiei a configuração de /etc/ldap.conf para este arquivo para tentar fazer as coisas funcionarem

/etc/pam.d/system-auth (mostrando o contexto de linhas +1 e -1. Linhas adicionadas indicadas com um "+"):

auth        sufficient    pam_unix.so nullok try_first_pass
+ auth        sufficient    pam_ldap.so use_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet

account     sufficient    pam_localuser.so
+ account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     sufficient    pam_succeed_if.so uid < 500 quiet

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
+ password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     required      pam_limits.so
+ session     optional      pam_mkhomedir.so skel=/etc/skel umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
+ session     optional      pam_ldap.so

Para testar, eu tento getend passwd ou getent group e não vejo nenhuma das minhas entradas baseadas no ldap.

alguma idéia de onde eu estou indo errado? / var / log / messages e secure não dão nenhuma indicação de erros.

    
por Brett 19.04.2013 / 11:21

0 respostas

Tags