私の問題は次のようになりますこれ。私は使うpam_ldapユーザー認証のため。/etc/nsswitch.confファイルには以下が含まれます。
passwd: files ldap
group: files ldap
shadow: files ldap
getent passwdすべてがうまく機能しているようですが、出力からLDAPユーザーのパスワードハッシュを隠す必要があります。
- 私が読んで人5 pam_ldapそして、有用な
/etc/ldap.confファイルパラメータが見つかりませんでした。 - オプションを読み、見つけ
sssdました。便利ですが、今はこれらのサービスをインストールしたくありません。nslcdenumerate
使用するとパスワードハッシュを隠すことはできますか?pam_ldap?
ユーザーの例tester:
dn: cn=tester,ou=users,dc=example,dc=org
objectClass: inetOrgPerson
objectClass: person
objectClass: organizationalPerson
objectClass: top
objectClass: posixAccount
cn: tester
gidNumber: 10000
homeDirectory: /home/tester
sn: Tester
uid: tester
uidNumber: 10000
loginShell: /bin/bash
userPassword: {CRYPT}$1$......
私のopenldapアクセス設定:
access to attrs=userPassword
by self write
by anonymous auth
by users none
access to * by * read
私のpam_ldap設定:
uri ldap://my_host
base dc=example,dc=org
binddn cn=admin,dc=example,dc=org
bindpw myPass
ldap_version 3
port 389
scope one
timelimit 30
bind_timelimit 10
bind_policy soft
nss_connect_policy persist
idle_timelimit 3600
nss_paged_results yes
pagesize 1000
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_lookup_policy yes
pam_password md5
nss_initgroups_ignoreusers root
nss_schema rfc2307bis
nss_base_passwd ou=users,dc=example,dc=org?one
nss_base_shadow ou=users,dc=example,dc=org?one
nss_base_group ou=groups,dc=example,dc=org?sub
ssl no
TLS_REQCERT allow
答え1
使用しないでくださいLDAP~のため影地図。これはまったく必要ありません。pam_ldapユーザーのパスワードは LDAP 単純バインディング要求で確認できるため、パスワードハッシュに対する読み取り権限は不要です。
また、使用を検討することができますSSDまたはnss-pam-ldapd(また〜として知られているNSCD)これは、PAMスタックを使用するプロセスからLDAP接続を切断するためです。