Trang chủ Thư mục và pam.d sử dụng LDAP

10

Bối cảnh:
Tôi không quá quen thuộc với các xác thực pam và LDAP ở bên cấu hình. Tôi đã sử dụng các hệ thống sử dụng pam nhưng tôi chỉ làm việc trên các ứng dụng, không phải hệ thống.

Câu hỏi:
Sử dụng pam để kiểm soát xác thực qua LDAP, điều này có nghĩa là thư mục chính sẽ không được tạo trên hệ thống?

Nếu không, tôi sẽ tạo người dùng trên máy chủ hay bằng cách nào đó đẩy người dùng đến hệ thống từ nguồn LDAP?

— Nicholas Anderson
nguồn

1

Câu hỏi này có thể liên quan: unix.stackexchange.com/q/106391/34796

— drs

13

Đây chính xác là những gì pam_mkhomedirđã được thực hiện cho.
Các pam_mkhomedirmô-đun có thể tạo thư mục home của người dùng khi đăng nhập nếu thư mục đó không tồn tại.

Làm thế nào để cài đặt nó phụ thuộc vào phân phối của bạn. Nhưng bạn sẽ cần phải đặt nó trong một hoặc nhiều tệp /etc/pam.d.
Ví dụ: trên hệ thống của tôi, tôi có /etc/pam.d/system-logintất cả các dịch vụ khác thực hiện đăng nhập (ssh, gdm, v.v.).
Tôi sẽ đặt pam_mkhomedir.sotrong sessionngăn xếp, chẳng hạn như:

session     optional    pam_loginuid.so
session     required    pam_env.so 
session     optional    pam_lastlog.so 
session     include     system-auth
session     optional    pam_mkhomedir.so # <<< right here
session     optional    pam_ck_connector.so nox11
session     optional    pam_gnome_keyring.so auto_start
session     optional    pam_motd.so motd=/etc/motd

Nơi bạn đặt nó hoàn toàn phụ thuộc vào những gì khác trong ngăn xếp. Nhưng bạn nên đặt nó trước bất cứ thứ gì khác có thể cần thư mục chính.

Xem man 8 pam_mkhomedircho các tùy chọn nó hỗ trợ.

— Patrick
nguồn

Tuyệt vời. Cảm ơn câu trả lời. Người dùng của chúng tôi hiện không đăng nhập vào hệ thống, họ đăng nhập vào một ứng dụng web được lưu trữ trên hệ thống. Có một kích hoạt có thể tạo thư mục chính của họ khi đăng nhập ban đầu của ứng dụng web không?

— Nicholas Anderson

1

Nếu ứng dụng web sử dụng ngăn xếp pam, thì nó sẽ hoạt động (mặc dù bạn có thể phải đặt nó vào authngăn xếp thay vì session). Nếu ứng dụng không sử dụng ngăn xếp pam, thì bạn sẽ phải xây dựng một cái gì đó vào chính ứng dụng.

— Patrick

Có vẻ như chỉ có mô-đun phiên được cung cấp, tôi đã thử và trên thực tế, pam_mkhomedir không hoạt động với mô-đun auth. Tôi có cùng một vấn đề như Nicholas Anderson, tôi có một ứng dụng web. Có cách nào để giải quyết vấn đề này trong mô-đun auth không?

— Fabiano Tarlao

6

Trong Ubuntu 14.04 system-loginkhông có mặt, nhưng một tệp khác có tên như common-sessionhiện tại.

Tôi đến đó và đặt:

root@GW:~# vim /etc/pam.d/common-session

#
session optional        pam_systemd.so skel=/etc/skel/ umask=0077

Điều này sẽ tạo thư mục chính nếu không tồn tại cũng đặt quyền 700

— Mansur Ali
nguồn

Các ô được đề xuất bởi help.ubfox.com/community/LDAPClientAuthentication là umask=0022. Tôi tin rằng bạn loại bỏ TẤT CẢ các khả năng bao gồm readcó thể ngăn một số cơ chế xác thực / tin cậy dựa trên khóa hoạt động trong hệ thống nhiều người dùng hoặc các trường hợp khác.

— dragon788

0

Tôi khuyên bạn nên sử dụng lẻjob-mkhomedir :

Đối với Centos 7, công việc này:

yum install oddjob-mkhomedir

Nối cái này vào /etc/pam.d/system-authvà /etc/pam.d/password-auth:

session     optional      pam_oddjob_mkhomedir.so skel=/etc/skel

Và cuối cùng:

systemctl enable oddjob; systemctl start oddjob

Điều này đã được đăng ban đầu ở đây: https://www.centos.org/forums/viewtopic.php?t=48631

Lưu ý: Nếu bạn chỉ gắn kết /homephân vùng của mình , đừng quên làmrestorecon /home

— mejem
nguồn