19.14.2. PAM パススルー認証の設定
注記
PAM パススルー認証プラグインには、複数の設定インスタンスが存在する場合があります。PAM パススルー認証プラグインのインスタンスは、
pamFilter 属性を使用して、プラグインで使用する特定のエントリーを検索するよう LDAP フィルターを設定することで、ユーザーエントリーのサブセットに適用できます。
PAM パススルー認証は、コマンドラインで設定されます。
- PAM サービスが完全に設定されていることを確認してください。
- pam_fprintd.so モジュールを PAM 設定ファイルから削除します。重要pam_fprintd.so モジュールは、PAM パススルー認証プラグイン設定の
pamService属性によって参照される設定ファイルにすることはできません。PAM の fprintd モジュールを使用すると、Directory Server は最大ファイル記述子制限に到達し、Directory Server プロセスが中止する可能性があります。 - プラグインを有効にします。デフォルトでは無効になっています。
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=PAM Pass-Through Auth Plugin,cn=plugins,cn=config changetype: modify replace: nsslapd-pluginEnabled nsslapd-pluginEnabled: on
- PAM パススルー認証プラグイン設定エントリーを作成します。
# ldapmodify
-a-D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=Admin PAM PTA Config,cn=PAM Pass-Through Auth Plugin,cn=plugins,cn=config cn: AD PAM PTA Config - PAM プラグインに使用できる属性を追加します。利用可能な属性は 「PAM パススルー認証設定オプション」 に表示され、例19.2「PAM パススルー認証設定エントリーの例」 にはサンプルエントリーがあります。
- サーバーを再起動して、新しいプラグイン設定を読み込みます。
# systemctl restart dirsrv.target
例19.2 PAM パススルー認証設定エントリーの例
dn: cn=Admin PAM PTA Config,cn=PAM Pass Through Auth,cn=plugins,cn=config objectclass: top objectclass: pamConfig objectClass: nsSlapdPlugin objectClass: extensibleObject cn: Admin PAM PTA Config pamMissingSuffix: ALLOWpamExcludeSuffix: cn=configpamExcludeSuffix: o=NetscapeRootpamIDMapMethod: RDN ENTRYpamIDAttr: customPamUidpamFilter: (manager=uid=bjensen,ou=people,dc=example,dc=com)pamFallback: FALSEpamSecure: TRUEpamService: ldapserver
