PAM、nsswitch 和 LDAP 配置

Question

除非我误解了你的问题，否则你似乎混淆了两件不同的事情，这可能会导致你的困惑：

pam_list是一个帐户授权模块 - 即它允许您指定确定用户帐户在给定机器上是否“有效”的方法。有关pam_list详细信息，请参阅手册页。您将pam_list在 PAM 配置文件中使用，以便允许/拒绝特定主机上的特定用户。可以与或文件
pam_list一起使用，并且还有一个“compat”选项，使其以与 NIS 传统上相同的方式工作（中的 + 和 - 行）。您可以参考allowdeny/etc/passwd
手册页pam_list更多信息请点击此处。

如果您使用 LDAP（pam_ldap 或类似），则有“更好”的方式来进行用户授权 - 通常使用 LDAP 组或 OU 来控制访问。
有关具体信息，请参阅 LDAP PAM 模块的相应文档。

passwd_compat是出现在 nsswitch.conf 中的“伪数据库”。如果您使用 LDAP，通常会将 LDAP 列为passwd和group数据库的一部分，并且您的 LDAP-nsswitch 接口模块（nss_ldap 或类似模块）将处理 LDAP 查找位。您还可以根据需要将 passwd_compat 设置为指向nis或ldap。通常这会导致类似以下内容：

 passwd: compat
 passwd_compat files ldap

的手册页nsswitch.conf是这方面的一个很好的信息来源。你也可以在 O'Reilly 的书中找到一些见解管理 NFS 和 NIS- 大约 10 年前（第 2 版）但仍然普遍适用。
我相信 O'Reilly 也出版了一本 LDAP 书，但我不确定它是否讨论了有关 nsswitch 或 PAM 的任何内容...

Answer 1

除非我误解了你的问题，否则你似乎混淆了两件不同的事情，这可能会导致你的困惑：

pam_list是一个帐户授权模块 - 即它允许您指定确定用户帐户在给定机器上是否“有效”的方法。有关pam_list详细信息，请参阅手册页。您将pam_list在 PAM 配置文件中使用，以便允许/拒绝特定主机上的特定用户。可以与或文件
pam_list一起使用，并且还有一个“compat”选项，使其以与 NIS 传统上相同的方式工作（中的 + 和 - 行）。您可以参考allowdeny/etc/passwd
手册页pam_list更多信息请点击此处。

如果您使用 LDAP（pam_ldap 或类似），则有“更好”的方式来进行用户授权 - 通常使用 LDAP 组或 OU 来控制访问。
有关具体信息，请参阅 LDAP PAM 模块的相应文档。

passwd_compat是出现在 nsswitch.conf 中的“伪数据库”。如果您使用 LDAP，通常会将 LDAP 列为passwd和group数据库的一部分，并且您的 LDAP-nsswitch 接口模块（nss_ldap 或类似模块）将处理 LDAP 查找位。您还可以根据需要将 passwd_compat 设置为指向nis或ldap。通常这会导致类似以下内容：

 passwd: compat
 passwd_compat files ldap

的手册页nsswitch.conf是这方面的一个很好的信息来源。你也可以在 O'Reilly 的书中找到一些见解管理 NFS 和 NIS- 大约 10 年前（第 2 版）但仍然普遍适用。
我相信 O'Reilly 也出版了一本 LDAP 书，但我不确定它是否讨论了有关 nsswitch 或 PAM 的任何内容...

PAM、nsswitch 和 LDAP 配置

答案1

相关内容