Pada hari-hari terakhir saya telah menyiapkan beberapa sistem Linux dengan otentikasi LDAP dan semuanya berfungsi dengan baik, tetapi masih ada sesuatu yang saya tidak bisa mengerti mengenai NSS dan PAM, juga setelah banyak penelitian.
Mengutip:
NSS memungkinkan administrator untuk menentukan daftar sumber tempat file otentikasi, nama host dan informasi lainnya akan disimpan dan dicari
dan
PAM adalah seperangkat perpustakaan yang menyediakan platform otentikasi yang dapat dikonfigurasi untuk aplikasi dan sistem operasi yang mendasarinya
Yang tidak saya mengerti adalah bagaimana PAM dan NSS bekerja dan berinteraksi bersama. Dalam buku ini arsitekturnya dijelaskan dengan cukup baik: Saya mengonfigurasi PAM untuk digunakan pam_ldap
untuk akun LDAP dan pam_unix
untuk akun lokal, kemudian saya mengkonfigurasi nsswitch.conf
untuk mengambil informasi dari file lokal dan LDAP.
Jika saya mengerti dengan benar, LDAP digunakan dua kali: pertama oleh pam_ldap
dan kemudian oleh NSS yang dipanggil dari pam_unix
. Apakah itu benar? Apakah LDAP benar-benar digunakan dua kali? Tetapi mengapa saya harus mengkonfigurasi NSS dan PAM? Penjelasan saya adalah bahwa PAM melakukan tugas yang berbeda dari NSS dan digunakan oleh program lain. Tapi, kalau begitu, seharusnya hanya menggunakan NSS atau PAM saja, seperti yang saya baca di halaman ini .
Jadi saya bereksperimen sedikit dan saya pertama kali mencoba menghapus LDAP dari nsswitch.conf
(dan otentikasi berhenti bekerja seolah-olah hanya pam_ldap tidak cukup untuk melakukan pekerjaan). Kemudian saya mengaktifkan kembali LDAP di NSS dan saya menghapusnya dari konfigurasi PAM (kali ini semuanya bekerja dengan baik, seolah-olah pam_ldap
tidak berguna dan NSS cukup untuk mengotentikasi pengguna).
Apakah ada orang yang dapat membantu saya untuk menjelaskan ini? Banyak terima kasih sebelumnya.
MEMPERBARUI
Saya baru saja mencoba sesuatu sekarang. Saya menghapus lagi semua pam_ldap
entri di semua bidang konfigurasi pam dan saya juga telah menghapus shadow: ldap
dari nsswitch.conf
. Seperti sekarang dalam semua sistem hanya ada garis: passwd: ldap files
dan group: ldap files
di nsswitch.conf
. Yah ... login dengan pengguna LDAP berfungsi dengan baik, dua baris (plus /etc/ldap.conf
) sudah cukup untuk mengkonfigurasi autentikasi LDAP.
Dari PAM pengetahuan saya di independen dari NSS, tetapi tes saya menunjukkan itu tidak. Jadi saya bertanya pada diri sendiri apakah mungkin untuk menonaktifkan NSS sepenuhnya dan hanya menggunakan PAM?
getent shadow | grep LDAPUSER
grep LDAPUSER /etc/shadow