我有一些在 AWS EC2 中运行的自定义实例,这些实例配置了 ldap 身份验证。我现在已经启动了 AWS 提供的 EC2 AMI 之一,并尝试将其配置为与 pam 身份验证一起使用。这是一个相对简单的配置,但由于某种原因,pam / ldap 无法工作。这是我如何配置实例的快速摘要,有什么明显的我遗漏的吗?
安装的软件(yum / rpm,超出默认值,与此设置相关):pam_ldap nss-pam-ldapd
配置:/etc/ldap.conf - 使用来自我的定制 AMI 的 ldap.conf 副本进行配置 - 相同的参数。使用以下参数(省略值,仅显示相关配置 - 不包括 ssl / tls 配置内容):
uri
timelimit
base
scope
suffix
ldap_version 3
binddn
bindpw
rootbinddn
pam_filter
pam_login_attribute
pam_member_attribute
pam_password
pam_check_host_attr
nss_base_passwd (x 2 of these)
nss_base_shadow
nss_base_group
nss_base_hosts
nss_initgroups_ignoreusers
/etc/nsswitch.conf
passwd: files ldap
shadow: files ldap
group: files ldap
/etc/openldap/ldap.conf
URI ldap://my-ldap-server
BASE dc=organization,dc=com
/etc/pam_ldap.conf - 此文件仅位于 AWS 提供的 AMI 上。我将配置从 /etc/ldap.conf 复制到此文件以尝试让一切正常工作
/etc/pam.d/system-auth(显示 +1 和 -1 行的上下文。添加的行用“+”表示):
auth sufficient pam_unix.so nullok try_first_pass
+ auth sufficient pam_ldap.so use_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
account sufficient pam_localuser.so
+ account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account sufficient pam_succeed_if.so uid < 500 quiet
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
+ password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session required pam_limits.so
+ session optional pam_mkhomedir.so skel=/etc/skel umask=0077
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
+ session optional pam_ldap.so
为了测试,我尝试getend passwd或getent group没有看到任何基于 LDAP 的条目。
关于我哪里出错了有什么想法吗? /var/log/messages 和 secure 不会给出任何错误指示。