SuSE (SLES 8/9) LDAP - Komisches verhalten

[merenda]

Hi @all,

ich hab noch ein paar Fragen zum SuSE LDAP die ich noch nicht so ganz verstehe:

Wenn ich ein LDAP-Client einrichte gehe ich folgender Maßen vor:

- Erst mal die Dateien dich ich bearbeiten werde:

 /etc/passwd

  /etc/shadow

  /etc/group

  /etc/pam.d/login

  /etc/pam.d/samba

  /etc/pam.d/sshd 

  /etc/pam.d/passwd 

  /etc/pam.d/su

- Als nächstes Migriren der Localen Linux User auf LDAP - Nach dem die Localen User Migriert wurden, entferne ich sie aus der /etc/passwd - Jetzt bearbeite ich die Pam-Dateien so, dass sie auch auf LDAP zu greifen - Dann wird die /etc/ldap.conf eingerichtet - Die /etc/security/pam_unix2.conf wird auch angepasst - Zum schluss teste ich noch ob die LDAP User auf den Maschinen kommen Aber beim SUSE LDAP gibt es noch einige Eintellungen die ich so nicht hinbekomme, wenn ich nicht den Yast zu rate ziehen würde. Da ich aber ungern mit Yast arbeite, würde ich gerne wissen was da im Hintergrund passiert. Ich zähl einfach mal auf, was mir so aufgefallen ist: 1) In der /etc/nsswitch.conf trägt der Yast folgendes ein:

passwd: compat

group:  compat

Ich trag dachte aber, dass es so lauten soll:

passwd: files

group:  files

Wo liegt da der unterschied ? 2) Was macht Yast noch im Hintergrund ? Kann ich irgendwie herausfinden, welche Dateien er genau bearbeitet und was er da ändert ? 3)Was auch noch Komisch ist, wenn ich ein User über phpLDAPadmin lösche, aber das Home-Verzeichnis noch vorhanden ist, kann der User sich trotz das er gelöscht ist sich noch anmelden, wie kann das gehen ? Er wird aber auf der Maschine nicht aufgeführt ?! 4) In der /etc/passwd bzw. /etc/group wird vom Yast auch noch folgendes eingetragen:

+::::::

Brauche ich das bzw. muss ich das manuell eintragen ?

Kann mir jemand Helfen ?

Danke schon mal im voraus für die Hilfe

Merenda

[setiII]

Es gibt da einen genialen Befehl der alles gut werden lässt:

'man Befehl'

[merenda]

Danke für dein Tipp, den kannte ich schon. Ich hab auch schon gegoogelt u.s.w. Aber wenn ich etwas gefunden hätte, mit dem ich hätte was anfangen können, dann hätte ich nicht gepostet. Tut mir leid, villeicht bin ich zu dusselig dafür, aber das sind genau die offenen fragen, dich nicht mit eingener Kraf beantworten konnte, deshalb auch der Post.

Gruß

Merenda

[dr.disk]

'compat' steht für compatibility mode, 'files' für Konfigurationsdateien (die im /etc Verzeichnis, also passwd, shadow usw.)

Wie das mit pam_ldap unter SuSE funktioniert steht in der Doku drin. Die findest Du unter /usr/share/doc/packages/pam_ldap. Da steht, dass man nur die pam_unix2.conf bearbeiten muss und dort die Zeilen mit 'use_ldap' anpassen muss.

Die Zeile '+::::::' wurde damals von der Sun bei NIS eingeführt. Damit bringt man die pam-Module dazu nicht nur in den Dateien sondern auch in der NIS-Datenbank nachzusehen. Weitere Infos findest Du im NIS-HowTo.

[merenda]

Hallo Dr. Disk,

danke für deine Antwort. Hat mich wirklich ein stück weiter gebracht, ich werde mir das jetzt alles mal reinziehen.

Da habe ich aber noch eine Frage, zum compatibility mode, es ist also besser wenn ich 'compat' eintrage, statt files ldap oder wie ? Aber dann stellst sich für mich die Frage was wird zuerst abgesucht mit 'compat' ?

Merenda

[dr.disk]

Erst Dateien, dann LDAP. Andersrum würde es auch keinen Sinn machen. Das mit compat ist eine schicke Sache, verkürzt es doch die Einrichtung am Client um einiges an Zeit...