Hallo Leute,
unter SuSE Linux 9.1 habe ich OpenLDAP konfiguriert (/etc/openldap), damit Postfix eine User-Authentifikation vornehmen kann. Jedoch ist es den LDAP-Usern jetzt auch gestattet, sich am System anzumelden und eine Shell zu erhalten. Das ist nicht erwünscht.
Wo müsste ich bei SuSE Linux ansetzen, um dies zu verhindern? </etc/pam.d/sshd> #%PAM-1.0 auth required pam_unix2.so # set_secrpc auth required pam_nologin.so auth required pam_env.so account required pam_unix2.so account required pam_nologin.so password required pam_pwcheck.so password required pam_unix2.so use_first_pass use_authtok session required pam_unix2.so none # trace or debug session required pam_limits.so # Enable the following line to get resmgr support for # ssh sessions (see /usr/share/doc/packages/resmgr/README.SuSE) #session optional pam_resmgr.so fake_ttyname <---------------->
Anscheinend ist das pam_unix2.so-Modul ein Universalmodul, das außer NIS und passwd auch LDAP-Anfragen bearbeitet. Leider ist pam_unix.so nur eine Kopie von pam_unix2.so. Gibt es ein Pam-Modul für SuSE-Linux, das ausschließlich auf Basis der passwd-Datei arbeitet, bzw. kann man unix2 mit einem Parameter irgendwie zu diesem Verhalten bewegen?
Gruß Matthias