Za autentikaciju različitih servisa putem LDAP-a mogu se koristiti dva modula:
pam_ldap i
pam_radius. Preporuka AAI@EduHr službe je uporaba modula
pam_radius, pa će ovaj članak biti baziran na njemu.
Način rada u ovom slučaju je posredan, jer pam_radius kontaktira RADIUS server, koji zatim komunicira s LDAP serverom.
Uz pretpostavku da se radi o Debian Linuxu, potrebno je instalirati paket libpam-radius-auth koji donosi potreban PAM modul. Instalacija je standardna:
# apt-get install libpam-radius-auth
U konfiguraciji FreeRADIUS-a prijavite poslužitelja kao klijenta:
U našem slučaju je klijent na lokalnom računalu (localhost):
client 127.0.0.1 {
secret = neki_secret
shortname = localhost
}
Ovaj secret se treba prenijeti i u konfiguraciju
pam_radius-a u datoteci
/etc/pam_radius_auth.conf:
# server[:port] shared_secret timeout (s)
127.0.0.1:1812 neki_secret 3
Time smo obavili predradnje za autentikaciju servisa preko
RADIUS-a. Konfiguracijske datoteke
PAM-a nalaze se u direktoriju
/etc/pam.d/.
Ako želite sve servise autenticirati preko RADIUS-a, u datoteci
/etc/pam.d/common-auth, bez diranja ostalih datoteka, zakomentirajte redak:
#auth required pam_unix.so nullok_secure
i dodajte:
auth sufficient pam_radius_auth.so
auth required pam_unix.so try_first_pass
Time smo postigli da se autentikacija korisnika obavlja preko RADIUS servera, a tek u slučaju neuspješne autentikacije pita se pam_unix (odnosno traži unos zaporke navedene u datoteci /etc/shadow). To je dobro, jer će se sistemac moći prijaviti na poslužitelj i u slučaju ispada
RADIUS-a ili
LDAP-a.
Svaki servis ima svoju konfiguracijsku datoteku i može se zasebno podešavati. Na primjer, za Secure shell u
/etc/pam.d/ssh zakomentirajte redak:
#@include common-auth
i dodajte dva nova:
auth sufficient pam_radius_auth.so
auth required pam_unix.so try_first_pass
U
/etc/pam.d nalazi se konfiguracija i za druge servise. Na isti način možete unijeti i konfiguraciju na primjer za ftp, imap, pop itd.
