Jan Dittberner schrieb:
Ich nutze NSS-LDAP und PAM-LDAP mit OpenLDAP auf Debian schon seit einer ganzen Weile und hab mir dafür nur die Dokumentation in /usr/share/doc/libnss-ldap/* und /usr/share/doc/libpam-ldap/* zu Hilfe genommen.
Ich nutze selbiges auch schon seit längerem, sowohl früher mit SuSE, als auch mit Debian Etch. Diesmal hatte ich nicht die lokale Doku sondern das Debian-Wiki als Anleitung herangezogen, nachdem die übertragene Konfiguration von Etch nicht lief. PAM läßt sich ja auf verschiedenen Wegen konfigurieren.
Kannst du vielleicht konkrete Problempunkte benennen?
Es war die Kombination aus dem neuen nss-ldapd und einer in dieser Konstellation nicht mehr funktionierenden PAM-Konfiguration. Weder die alte etch-PAM-Config von mir, noch die nach der Anleitung aus dem Debian-Wiki http://wiki.debian.org/LDAP/PAM funktionierten.
Auf einem lokalen Testsystem konnte ich das ganze nochmal verifizieren. Die etch-PAM-Conf und die alte libnss-ldap funktionierten auch unter lenny. Mit der PAM-Config aus /usr/share/doc/libpam-ldap/README.debian ging dann auch das Login mit nss-ldapd. Nur für die Passwortänderung hab ich die common-password aus dem Debian-Wiki übernommen:
password sufficient pam_unix.so md5 obscure min=4 max=8 nullok try_first_pass password sufficient pam_ldap.so password required pam_deny.so
In der /etc/pam_ldap.conf ist noch "pam_password md5" aktiviert, damit werden im LDAP die Passwörter als md5crypt gespeichert.
Ob das jetzt die optimale Lösung ist, weiß ich nicht, aber sie funktioniert. Damit kann ich das Problem erstmal abhaken.
Gruß Rico