[*buntu] LDAP authenticatie

Recent heb ik besloten dat ik de clients (desktops) bij ons van debian naar ubuntu wil wisselen omdat dat een wat beter afgewerkt gevoel geeft aan de gebruikers maar ik ben tegen een probleem aangelopen.

Wij gebruiken ldap authenticatie en terwijl debian 2 vrijwel identieke maar aparte configuratie bestanden gebruikt voor nss (nameservice switch) en PAM dacht men kennelijk op ubuntu om een "onnodig" configuratie bestand uit de weg te ruimen door de twee bestanden samen te voegen.

Hierdoor zit ik met een probleem want op bepaalde machines wil ik dat PAM een andere basedn gebruikt dan nss, nss zet uid/gid om in de geassocieerde waarden en PAM zorgt voor de authenticatie dus als een machine alleen voor een specifieke gebruiker of afdeling is dan moet PAM dat beperken terwijl nss nog steeds alle gebruikers moet kunnen "zien".

Ik heb geprobeerd of dit viel op te lossen met een NIS compat notatie (zoals -@afdeling:::::: of +@afdeling::::::/bin/false) maar die wordt ook niet gerespecteerd...

Op ubuntuforums heeft helaas nog niemand iets gesuggereerd....

Ok ik heb net mijn antwoord gevonden in de Ubuntu readme van libpam-ldap (/usr/share/doc/libpam-ldap/README.Debian)

Ubuntu uses /etc/ldap.conf as libpam-ldap's configuration file and
/etc/ldap.secret as the file to store the password of the rootbinddn.
This file is shared with libnss-ldap, which should work for most
configurations. If separate configuration files for libnss-ldap and
libpam-ldap are required, you can specify an alternate configuration file
in /etc/pam.d/common-* by adding a config=</path> argument to the
pam_ldap.so entry, such as:

auth sufficient pam_ldap.so config=/etc/pam_ldap.conf

This would let you have two separate configurations: /etc/ldap.conf for
NSS, and /etc/pam_ldap.conf for PAM. Thanks to Etienne Goyer for pointing
this out.

Misschien ga ik ook nog spelen met pam_check_host_attr...