言葉のさんぽ道

~気ままに写真とゲームの話題が更新されるはず~

PAM+LDAPで問題。

各種サーバのユーザのpasswd認証をLDAPからも情報を得るようにしているんだけど、そうするとログインしたユーザからsuでrootになる際に、LDAPのrootパスワードでログインできてしまう(サーバ毎のローカルrootパスワードではなく)という問題にぶちあたっている。
ルートになれるユーザはグループ:wheelだけという設定はしているのだが、このままだとユーザのpasswd認証をLDAPからしている全てのサーバが同じパスワードでrootになれてしまうのでセキュリティ上よろしくないと思われる。のだが。
あんまりネット上を探してもそんな問題を抱えている人が居ないようで困ってるんだけど、誰か知らないだろうか・・・。

自己解決

LDAPのpasswdを取得してくる先が短かったらしい。

/etc/ldap.conf
nss_base_passwd dc=hoge,dc=co,dc=jp?sub
nss_base_shadow dc=hoge,dc=co,dc=jp?sub

nss_base_passwd ou=People,dc=hoge,dc=co,dc=jp?sub
nss_base_shadow ou=People,dc=hoge,dc=co,dc=jp?sub

こーすることでrootのパスをサーチすることも無くなり問題解決と。

でも万事解決とはいかないの。

しかし現在はパスワード変更したら何故かエラーが出るようになった問題が。。。
一つのサーバではこんなん。

セグメンテーション違反です

もう一つのサーバではこんなん。

su: ../../../libraries/libldap/unbind.c:40: ldap_unbind_ext: Assertion `( (ld)->ld_options.ldo_valid == 0x2 )' が失敗しました.
su: ../../../libraries/libldap/unbind.c:40: ldap_unbind_ext: Assertion `( (ld)->ld_options.ldo_valid == 0x2 )' が失敗しました.
アボートしました


誰かタスケテ。