LDAP認証で設定されたAWS EC2で実行されているカスタムインスタンスがいくつかあります。これで、AWS が提供する EC2 AMI の 1 つを起動し、PAM 認証で動作するように設定しようとしました。これは比較的単純な構成ですが、何らかの理由でpam / ldapは機能しません。以下は、インスタンスの構成方法の簡単な要約です。私が逃した部分がありますか?
インストールされているソフトウェア(yum / rpm、デフォルト値以上、この設定に関連):pam_ldap nss-pam-ldapd
構成:/etc/ldap.conf - カスタムAMIのldap.confコピーを使用した構成 - 同じパラメーター。以下のパラメーターを使用してください(関連構成のみを表示するには値を省略してください。SSL / tls構成コンテンツは含まれていません)。
uri
timelimit
base
scope
suffix
ldap_version 3
binddn
bindpw
rootbinddn
pam_filter
pam_login_attribute
pam_member_attribute
pam_password
pam_check_host_attr
nss_base_passwd (x 2 of these)
nss_base_shadow
nss_base_group
nss_base_hosts
nss_initgroups_ignoreusers
/etc/nsswitch.conf
passwd: files ldap
shadow: files ldap
group: files ldap
/etc/openldap/ldap.conf
URI ldap://my-ldap-server
BASE dc=organization,dc=com
/etc/pam_ldap.conf - このファイルは、AWSが提供するAMIにのみ存在します。すべてが機能するように、/etc/ldap.confの設定をこのファイルにコピーしました。
/etc/pam.d/system-auth (行 +1 と -1 のコンテキストを表示します。追加された行は "+" で示されます):
auth sufficient pam_unix.so nullok try_first_pass
+ auth sufficient pam_ldap.so use_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
account sufficient pam_localuser.so
+ account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account sufficient pam_succeed_if.so uid < 500 quiet
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
+ password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session required pam_limits.so
+ session optional pam_mkhomedir.so skel=/etc/skel umask=0077
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
+ session optional pam_ldap.so
テストのためにLDAPベースのエントリを試しましたが、見ませgetend passwd
んでした。getent group
私がどこに間違っているのかというアイデアはありますか? /var/log/messages と secure はエラー表示を提供しません。