Ssh через ldap без nsswitch.conf?

Question

[invite]

Добрый день,


есть авторизация ssh через ldap, для работы такой авторизации настроен файл /etc/nsswitch.conf таким образом:


passwd: cache files [SUCCESS=return] ldap

group: cache files [SUCCESS=return] ldap

shadow: cache files [SUCCESS=return] ldap


При этом в системе, есть утилиты, которые переодически запрашивают всю базу доступных пользователей, использую getpwent().


Можно ли как-нибудь отвязаться от использования nsswitch.conf при авторизации ssh через ldap?

Comments

[AnViar]

Зачем отказываться от штатной системы ОС?

[invite]

Уже жостка заданы параметры uid, gid, homedir для пользователей ldap, фактически, необходимо только сверить shadow

Answer 1

[smartly]

да, кажись авторизация идёт через pam, и для ldap в pam есть модуль pam_ldap. его и надо настраивать.

Comments

[invite]

Есть пример настройки без работающего nss-ldap? Насколько я могу судить, это невозможно

[smartly]

нету, надо пробовать. в каких-то случаях выборка данных идёт через nss, в каких-то только через pam. не экспериментировал.

[invite]

При авторизации через pam:
— система спрашивает: А есть ли такой пользователь в системе? (в этот момент залазит в nsswitch.conf. В моем случае, если находит локальных останавливается, если не находит — лезит в ldap)
— затем запрашивает shadow, если пользователь найден

Т.е. если я убираю в nsswitch.conf напротив passwd параметр ldap, то система фактически скажет: «Я про такого пользователя ничего не знаю» и не авторизует