1. Zainstaluj pakiet „libpam-ldap„. Prawdopodobnie otrzymasz komunikat, że pakiet jest już zainstalowany. Został dołączony przy poprzednim laboratorium.
    2. Następujące polecenia powinny być rozpoznawane prawidłowo w systemie:
id user1
cd ~user1    (tylko po ponownym zalogowaniu się do putty)
  1. System PAM wykorzystuje ten sam plik konfiguracji („/etc/ldap.conf„) jak libnss-LDAP. System automatycznie również skonfiguruje dostęp w systemie PAM wewnątrz katalogu /etc/pam.d należy jedynie sprawdzić poprawność wpisów.
    NIE WOLNO NIC ZMIENIAĆ – tylko sprawdzić !!!!!!!!!!!!! czy występują w każdym pliku pozycje na czerwono !!! Jeśli tak o wszystko OK.
  2. Prawidłowa postać wszystkich wpisów:
    • common-account:
      # here are the per-package modules (the "Primary" block)
      account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
      account [success=1 default=ignore] pam_ldap.so
      # here's the fallback if no module succeeds
      account requisite pam_deny.so
      # prime the stack with a positive return value if there isn't one already;
      # this avoids us returning an error just because nothing sets a success code
      # since the modules above will each just jump around
      account required pam_permit.so
      # and here are more per-package modules (the "Additional" block)
      # end of pam-auth-update config
    • common-auth:
      # here are the per-package modules (the "Primary" block)
      auth [success=2 default=ignore] pam_unix.so nullok_secure
      auth [success=1 default=ignore] pam_ldap.so use_first_pass
      # here's the fallback if no module succeeds
      auth requisite pam_deny.so
      # prime the stack with a positive return value if there isn't one already;
      # this avoids us returning an error just because nothing sets a success code
      # since the modules above will each just jump around
      auth required pam_permit.so
      # and here are more per-package modules (the "Additional" block)
      # end of pam-auth-update config
    • common-password:
      # here are the per-package modules (the "Primary" block)
      password [success=2 default=ignore] pam_unix.so obscure sha512
      password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
      # here's the fallback if no module succeeds
      password requisite pam_deny.so
      # prime the stack with a positive return value if there isn't one already;
      # this avoids us returning an error just because nothing sets a success code
      # since the modules above will each just jump around
      password required pam_permit.so
      # and here are more per-package modules (the "Additional" block)
      # end of pam-auth-update config
    • common-session:
      # here are the per-package modules (the "Primary" block)
      session [default=1] pam_permit.so
      # here's the fallback if no module succeeds
      session requisite pam_deny.so
      # prime the stack with a positive return value if there isn't one already;
      # this avoids us returning an error just because nothing sets a success code
      # since the modules above will each just jump around
      session required pam_permit.so
      # and here are more per-package modules (the "Additional" block)
      session required pam_unix.so
      session optional pam_ldap.so
      # end of pam-auth-update config
    • common-session-noninteractive:
      # here are the per-package modules (the "Primary" block)
      session [default=1] pam_permit.so
      # here's the fallback if no module succeeds
      session requisite pam_deny.so
      # prime the stack with a positive return value if there isn't one already;
      # this avoids us returning an error just because nothing sets a success code
      # since the modules above will each just jump around
      session required pam_permit.so
      # and here are more per-package modules (the "Additional" block)
      session required pam_unix.so
      session optional pam_ldap.so
      # end of pam-auth-update config
  3. Prawidłowo wykonane wpisy po zrestartowaniu usługi SSH powinny pozwolić na zalogowanie się przy pomocy użytkownika z LDAP do systemu.
    restart: /etc/init.d/ssh restart
  4. Połączenie wykonujemy przez kolejną sesję SSH (nowa sesja) i logowaniu się użytkownikiem i hasłem z LDAP