PAMLdapAuthentication

Aus OpenNewsNetwork

Wechseln zu: Navigation, Suche

Michael Weber freute sich in de.comm.software.newsserver und prinzipiell sollte das auch mit auth.open-news-network.org klappen, vorausgesetzt es besteht ein Nutzeraccount, bisher ungetestet, aber hier die Anleitung für Gentoo: 

ENDLICH, ich habe das Wunder vollbracht.

Aufgrund der Einschränkungen bezüglich des LDAP-Zugriffes habe ich jetzt 
eine Alternative verwendet. Und zwar PAM. PAM kümmert sich um den 
kompletten LDAP-Zugriff und überprüft selbstständig die Passwörter. 
Dafür braucht man sich dann kein eigenes Programm schreiben.

Mir ist bei näherem Hinsehen aufgefallen, dass das 
Authentifizierungsprogramm ckpasswd Unterstützung für PAM mitbringt, 
wenn PAM bei der Installation vom INN schon vorhanden ist.
Um nun PAM mit ldap nutzen zu können, muss man bei Gentoo das Paket 
"pam_ldap" installieren. Hierbei wird eine Datei ldap.conf in das 
Verzeichnis /etc installiert. Sofern man schon openldap installiert hat, 
sollte man ein SymLink auf die Datei /etc/openldap/ldap.conf machen in 
der Form:

ln -s /etc/openldap/ldap.conf /etc/ldap.conf

Grund hierfür ist einfach, dass man dann keine zwei Dateien hat, in 
denen man rumeditiert.

In der Datei ldap.conf MUSS unbedingt folgendes stehen:

BASE    dc=example, dc=org
URI     ldap://FQDN_vom_LDAP_Server

Falls man ldaps verwendet, wird einfach folgendes geändert:

BASE    dc=example, dc=org
URI     ldaps://FQDN_vom_LDAP_Server
TLS_REQCERT allow

Des weiteren muss man in das Verzeichnis /etc/pam.d die Datei nnrpd 
einfügen. Hierbei ist nnrpd das Programm, welches PAM nutzen will. 
ckpasswd, welches das Passwort und den Nutzer überprüft, wird dem 
Programm nnrpd zugeordnet. Daher der Dateiname nnrpd. In diese Datei 
kommt der folgende Eintrag:

auth     required pam_ldap.so
account  required pam_ldap.so

Die Datei wird gespeichert. Um nun zu prüfen, obs klappt, führt man als 
News-User!! den folgenden Befehl aus:

(echo 'ClientAuthname: nutzer' ; echo 'ClientPassword: passwort') | 
bin/auth/passwd/ckpasswd

Sobald etwas in der Form "User:nutzer" kommt, hat man es geschafft. Wenn 
nicht, gibts ne Fehlerausgabe. Fehler, die PAM betreffen, sollten in der 
Datei /var/log/messages stehen. nnrpd-Fehler stehen wie immer unter 
pathlog/news.notice oder pathlog/news.debug.

Zum Abschluss, nachdem alles geklappt hat, muss nur noch die Datei 
pathetc/readers.conf abgeändert werden. nnrpd neustarten und schon läuft 
alles geschmeidig!! (Sollte es zumindest :-))

Ich danke allen Beteiligten für ihre Hilfe und die Geduld.
Von „https://wiki.open-news-network.org/index.php/PAMLdapAuthentication
Persönliche Werkzeuge