2007年10月22日

LDAP認証失敗時にローカル認証を有効にする方法

ログイン認証にLDAPを使用している場合、デフォルトではLDAPサーバが落ちてしまう(というよりLDAPサーバにアクセスできない)と、LDAP上のユーザだけでなく、ローカルユーザですらログインできなくなってしまいます。

これは非常に困るので、LDAP認証に失敗した場合でもローカルユーザでログインできるように設定を変更。対象のファイルは /etc/pam.d/system-auth です。

<変更前>
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so

<変更後>
account [default=bad success=ok user_unknown=ignore authinfo_unavail=ignore] /lib/security/$ISA/pam_ldap.so


元ネタはsambaのメーリングリストより。(感謝!)

[samba-jp:15181] Re: LDAP認証とSWATとsystem-auth
http://www.samba.gr.jp/ml/article/samba-jp/msg15164.html


−追記:2010/01/07−

/etc/ldap.conf に以下の設定もしないと駄目でした。
#bind_policy hard
 ↓(変更)
bind_policy soft

あと忘れがちなのが /etc/nsswitch.conf の設定。
passwd: files ldap
shadow: files ldap
group: files ldap

久々に設定したらハマりました…やでやで。
posted by 月水和尚 (とも) at 16:56 | Comment(2) | TrackBack(0) | Linux(UNIX)全般
この記事へのコメント
tomo殿
LDAP認証を入れているのにローカルユーザーでログインできてしまうというのはセキュリティレベルを下げることになりますが、
それに対してどのような対策を講じますか?(笑
Posted by kenya at 2007年10月22日 17:56
やべ〜、本業のシステム管理者に目をつけられた。(笑)

春先にLDAPが落ちてひどい目にあった(覚えてるよね?)ので、ローカル認証は必須です。だってLDAPサーバ落ちたらコンソールからもログインできないなんてSinglePointOfFailureも甚だしいじゃないっすか。(そのためにネットワークもLDAPも二重化したけどさ…)

そもそもうちのシステムってsshのallowuserがローカルユーザなんだよね。LDAPのユーザはどっちかというとsambaとOpenVPN専用。外からアクセスできるサーバは公開鍵認証もしてるし、セキュリティレベルという意味では問題ないかと。

というわけで、何とぞお目こぼしのほど…。m(_ _)m
Posted by tomo at 2007年10月22日 19:48
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。