/etc/pam.d/ には複数のファイルがあり、auth-config を実行するとそのファイルの多くが更新されます。 SSH /コンソールを使用してLDAPベースのログインをサポートするには、どのファイルを更新する必要があるかを正確に知る必要があります。
答え1
/etc/pam.d/
通常、名前付きファイルの下にファイルがありますが、sshd
通常は次のような数行しか含まれていません。
auth include system-remote-login
account include system-remote-login
password include system-remote-login
session include system-remote-login
/etc/pam.d/
これは、コンピュータのすべてのセキュリティ機能に共通のPAMガイドラインを含むディレクトリ内の他のファイルへの参照です。 SSHに対するLDAP認証が必要な場合ただsshd
、ファイル自体を変更します。システム全体(つまり、ローカルログインとSSH)に対してLDAP認証を設定する場合は、すべてのログインに対して共通のPAMファイルを編集する必要があります。
LDAP認証用の一般的な構成ファイルsshd
は次のとおりです。
auth files ldap
account files ldap
password files ldap
session files ldap
ただし、これはSSSDを使用せずに追加のサービスなしでLDAP認証SSHDのみが必要であると仮定します。この構成を使用すると、何らかの理由でLDAP認証が失敗した場合にターゲットサーバーでローカルログインが許可されます。この動作を望む場合も、望ましくない場合もあります。また、LDAPサーバーの構成方法によっては、ユーザーのログイン情報をプレーンテキストでネットワーク経由で送信できます。
ここCentOSのLDAP認証のための包括的な設定ガイドですが、ローカルログインとサービス(SSHを含む)にLDAPを使用するためのものです。