Zentrale Benutzerverwaltung mit LDAP, PAM und NSS

 
Jochen Wiedmann
Am Eisteich 9
72555 Metzingen

joe@ispsoft.de


 
 

1.) Klassische Benutzerverwaltung

1.1) Beurteilung der klassischen Benutzerdatenbank:

Positiv: Negativ:


Fazit: Ideal für Gebrauch auf Standalone-Servern
 
 

2.) Lösungsansatz: NIS (Network Information Service) = YP (Yellow Pages)


2.1) Beurteilung der NIS-Benutzerdatenbank:


Positiv:


Negativ:
 

Fazit: Gut für Gebrauch in reinen Unix-Netzwerken  

3.) Moderne Lösungsansätze:

 

3.1) LDAP (Lightweight Directory Access Protocol)

 
 

3.2) PAM (Pluggable Authentication Modules)

 
 
 



 
 
 

3.3) PAM im Detail

 
 

3.4) Beispiel: Login mit pam


Auszug aus /etc/pam.d/login:
 
 

 
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_pwdb.so
shadow nullok
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_crack.so
password required /lib/security/pam_pwdb.so
shadow nullok use_authtok

3.5) NSS (Name Service Switch)

 

 
 
 


 
 
 

3.6) NSS-Konfiguration: /etc/nsswitch.conf

 
passwd: files ldap
shadow: files ldap
hosts: files dns


Bedeutung des Eintrags "ldap": Statt direktem Zugriff auf die entsprechende Datei (/etc/passwd, /etc/shadow) wird
 
 

/usr/lib/libnss_ldap.so
 
 

geladen und durch entsprechende C-Calls verwendet.

Schlecht: Fehlende Parametrisierung in der Konfigurationsdatei
 
 

3.7) Der LDAP-Server als Herzstück der Benutzerverwaltung

 

 
 
 
 

Konsequente Umsetzung des Prinzips der zentralen Benutzerverwaltung mit LDAP, PAM und NIS