Nächste: Web-Dienste, Vorige: Kerberos-Dienste, Nach oben: Dienste [Inhalt][Index]
Das Modul (gnu services authentication) stellt den Diensttyp
nslcd-service-type zur Verfügung, mit dem sich Benutzer gegenüber
einem LDAP-Server authentisieren können. Sie möchten dabei wahrscheinlich
nicht nur den Dienst konfigurieren, sondern auch ldap als einen
Namensdienst („Name Service“) für den Name Service Switch hinzufügen. Siehe
Name Service Switch für Details.
Hier ist ein Beispiel für eine einfache Betriebssystemdeklaration mit einer
der Vorgabe entsprechenden Konfiguration des nslcd-service-type und
einer Konfiguration des Name Service Switch, die den
ldap-Namensdienst zuletzt prüft:
(use-service-modules authentication) (use-modules (gnu system nss)) ... (operating-system ... (services (cons* (service nslcd-service-type) (service dhcp-client-service-type) %base-services)) (name-service-switch (let ((services (list (name-service (name "db")) (name-service (name "files")) (name-service (name "ldap"))))) (name-service-switch (inherit %mdns-host-lookup-nss) (password services) (shadow services) (group services) (netgroup services) (gshadow services)))))
Verfügbare nslcd-configuration-Felder sind:
nslcd-configuration-Parameter: „package“ nss-pam-ldapd ¶Das nss-pam-ldapd-Paket, was benutzt werden soll.
nslcd-configuration-Parameter: Vielleicht-Zahl threads ¶Die Anzahl zu startender Threads, die Anfragen bearbeiten und LDAP-Abfragen durchführen können. Jeder Thread öffnet eine separate Verbindung zum LDAP-Server. Die Vorgabe ist, 5 Threads zu starten.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Zeichenkette uid ¶Gibt den Benutzeridentifikator an, unter dem der Daemon ausgeführt werden soll.
Die Vorgabe ist ‘"nslcd"’.
nslcd-configuration-Parameter: Zeichenkette gid ¶Gibt den Gruppenidentifikator an, unter dem der Daemon ausgeführt werden soll.
Die Vorgabe ist ‘"nslcd"’.
nslcd-configuration-Parameter: Protokolleinstellung log ¶Diese Einstellung steuert über eine Liste aus SCHEMA und STUFE, wie protokolliert wird. Als SCHEMA-Argument darf entweder eines der Symbole ‘none’ (keines) oder ‘syslog’ angegeben werden oder ein absoluter Dateiname. Das Argument STUFE ist optional und legt die Protokollierungsstufe fest. Die Protokollierungsstufe kann als eines der folgenden Symbole angegeben werden: ‘crit’ (kritisch), ‘error’ (Fehler), ‘warning’ (Warnung), ‘notice’ (Benachrichtigung), ‘info’ (Information) oder ‘debug’ (Fehlersuche). Alle Mitteilungen mit der angegebenen Protokollierungsstufe oder einer höheren werden protokolliert.
Die Vorgabe ist ‘("/var/log/nslcd" info)’.
nslcd-configuration-Parameter: Liste uri ¶Die Liste der LDAP-Server-URIs. Normalerweise wird nur der erste Server benutzt; nachfolgende Server dienen als Ersatz.
Die Vorgabe ist ‘("ldap://localhost:389/")’.
nslcd-configuration-Parameter: Vielleicht-Zeichenkette ldap-version ¶Die zu benutzende Version des LDAP-Protokolls. Nach Vorgabe wird die höchste Version benutzt, die von der LDAP-Bibliothek unterstützt wird.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette binddn ¶Gibt den „Distinguished Name“ an, der an den Verzeichnisserver („Directory Server“) gebunden wird, um Einträge aufzulösen. Nach Vorgabe wird anonym gebunden.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette bindpw ¶Gibt die Zugangsinformationen an, mit denen gebunden wird. Diese Einstellung ist nur dann wirksam, wenn sie mit binddn benutzt wird.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette rootpwmoddn ¶Gibt den „Distinguished Name“ an, der benutzt wird, wenn der Administratornutzer „root“ versucht, das Passwort eines Benutzers mit Hilfe des PAM-Moduls zu verändern.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette rootpwmodpw ¶Gibt die Zugangsinformationen an, die benutzt werden, wenn der Administratornutzer „root“ versucht, das Passwort eines Benutzers zu verändern. Diese Einstellung ist nur dann wirksam, wenn sie mit rootpwmoddn benutzt wird.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette sasl-mech ¶Gibt an, welcher SASL-Mechanismus benutzt werden soll, um Authentifizierung über SASL durchzuführen.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette sasl-realm ¶Gibt den SASL-Administrationsbereich an, um Authentifizierungen über SASL durchzuführen.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette sasl-authcid ¶Gibt die Authentisierungsidentität an, um Authentifizierungen über SASL durchzuführen.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette sasl-authzid ¶Gibt die Autorisierungsidentität an, um Authentifizierungen über SASL durchzuführen.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck sasl-canonicalize? ¶Legt fest, ob der kanonische Rechnername („Hostname“) des LDAP-Servers ermittelt werden soll. Wenn ja, wird die LDAP-Bibliothek eine inverse Auflösung („Reverse Lookup“) des Rechnernamens durchführen. Die Vorgabe ist, es der LDAP-Bibliothek zu überlassen, ob eine solche Überprüfung durchgeführt wird.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette krb5-ccname ¶Legt den Namen für den Zwischenspeicher der GSS-API-Kerberos-Zugangsdaten fest.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Zeichenkette base ¶Basis für die Verzeichnissuche.
Vorgegeben ist ‘"dc=example,dc=com"’.
nslcd-configuration-Parameter: Suchbereichs-Einstellung scope ¶Legt den Suchbereich fest als subtree (Teilbaum), onelevel (eine Ebene), base (Basis) oder children (Kinder). Die Vorgabe für den Suchbereich ist subtree; base ist fast nie geeignet für Namensdienstauflösungen; children wird nicht auf allen Servern unterstützt.
Die Vorgabe ist ‘(subtree)’.
nslcd-configuration-Parameter: Vielleicht-Deref-Einstellung deref ¶Legt die Richtlinie für das Dereferenzieren von Alias-Namen fest. Die vorgegebene Richtlinie ist, Alias-Namen niemals zu dereferenzieren.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck referrals ¶Gibt an, ob Verweise („Referrals“) automatisch verfolgt werden sollen. Das vorgegebene Verhalten ist, sie zu verfolgen.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Liste-von-Abbildungseinträgen maps ¶Diese Option ermöglicht es, eigene Attribute bei der Auflösung anstelle der vorgegebenen RFC-2307-Attribute zu verwenden. Es ist eine Liste von Abbildungen („Maps“), von denen jede aus dem Namen der Abbildung, dem abzubildenden RFC-2307-Attribut und einem Anfrageausdruck besteht, mit dem es anhand des Verzeichnisses aufgelöst wird.
Die Vorgabe ist ‘()’.
nslcd-configuration-Parameter: Liste-von-Filtereinträgen filters ¶Eine Liste von Filtern, von denen jeder aus dem Namen einer Abbildung, auf die sich der Filter auswirkt, und einem LDAP-Suchfilter-Ausdruck besteht.
Die Vorgabe ist ‘()’.
nslcd-configuration-Parameter: Vielleicht-Zahl bind-timelimit ¶Gibt die Zeitbeschränkung in Sekunden an, wie lange eine Verbindung zum Verzeichnisserver dauern darf. Die Vorgabe ist 10 Sekunden.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zahl timelimit ¶Gibt die Zeitbeschränkung (in Sekunden) an, wie lange auf eine Antwort vom LDAP-Server gewartet wird. Ein Wert von null, was die Vorgabe ist, bewirkt, dass beliebig lange gewartet wird, bis Suchen abgeschlossen sind.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zahl idle-timelimit ¶Gibt an, wie lange bei Inaktivität gewartet wird (in Sekunden), bis die Verbindung zum LDAP-Server geschlossen wird. Die Vorgabe ist, dass es zu keiner Zeitüberschreitung bei Verbindungen kommen kann.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zahl reconnect-sleeptime ¶Gibt die Anzahl an Sekunden an, wie lange „schlafend“ gewartet wird, wenn zu keinem LDAP-Server eine Verbindung hergestellt werden kann. Die Vorgabe ist, zwischen dem ersten Fehlversuch und dem ersten neuen Versuch 1 Sekunde zu warten.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zahl reconnect-retrytime ¶Gibt an, nach wie viel Zeit der LDAP-Server als dauerhaft nicht verfügbar angesehen wird. Sobald dieser Fall eintritt, wird eine Verbindungsaufnahme nur noch einmal pro weiterem Ablauf dieser Zeitperiode versucht. Der Vorgabewert beträgt 10 Sekunden.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-SSL-Einstellung ssl ¶Gibt an, ob SSL/TLS benutzt werden soll oder nicht (die Vorgabe ist, es nicht zu benutzen). Wenn ’start-tls angegeben wird, dann wird StartTLS statt schlichtem LDAP über SSL benutzt.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-„tls-reqcert“-Einstellung tls-reqcert ¶Gibt an, welche Überprüfungen auf einem vom Server empfangenen Zertifikat durchgeführt werden sollen. Die Bedeutung der Werte wird auf der Handbuchseite zu ldap.conf(5) beschrieben.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-cacertdir ¶Gibt das Verzeichnis an, das X.509-Zertifikate zur Authentifikation von Kommunikationspartnern enthält. Dieser Parameter wird ignoriert, wenn Sie GnuTLS benutzen lassen.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-cacertfile ¶Gibt den Dateipfad zu dem X.509-Zertifikat zur Authentifikation von Kommunikationspartnern an.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-randfile ¶Gibt den Pfad zu einer Entropiequelle an. Dieser Parameter wird ignoriert, wenn Sie GnuTLS benutzen lassen.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-ciphers ¶Gibt als eine Zeichenkette an, welche Ciphers für TLS benutzt werden sollen.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-cert ¶Gibt den Pfad zu der Datei an, die das lokale Zertifikat zur TLS-Authentisierung als Client enthält.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-key ¶Gibt den Pfad zu der Datei an, die den privaten Schlüssel zur TLS-Authentisierung als Client enthält.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zahl pagesize ¶Geben Sie hier eine Zahl größer als 0 an, um beim LDAP-Server seitenweise Antworten anzufordern, entsprechend RFC2696. Die Vorgabe (0) fordert alle Ergebnisse auf einmal an.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-„ignore-users“-Einstellung nss-initgroups-ignoreusers ¶Diese Einstellung verhindert, dass für die angegebenen Benutzer die Gruppenmitgliedschaft über LDAP aufgelöst wird. Alternativ kann der Wert ’all-local verwendet werden. Für diesen Wert erzeugt nslcd eine vollständige Liste aller Nicht-LDAP-Benutzer, wenn es startet.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zahl nss-min-uid ¶Diese Einstellung lässt sicherstellen, dass LDAP-Benutzer, deren numerischer Benutzeridentifikator kleiner als der angegebene Wert ist, ignoriert werden.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zahl nss-uid-offset ¶Diese Einstellung gibt einen Versatz an, der auf den numerischen Benutzeridentifikator jedes LDAP-Nutzers aufaddiert wird. Damit können Konflikte zwischen den Benutzeridentifikatoren lokaler Benutzerkonten und LDAP vermieden werden.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zahl nss-gid-offset ¶Diese Einstellung gibt einen Versatz an, der auf den numerischen Gruppenidentifikator jedes LDAP-Nutzers aufaddiert wird. Damit können Konflikte zwischen den Gruppenidentifikatoren lokaler Gruppen und LDAP vermieden werden.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck nss-nested-groups ¶Wenn diese Einstellung aktiviert ist, können die Attribute einer Gruppe auch wieder Verweise auf eine andere Gruppe sein. Attribute darin verschachtelter („nested“) Gruppen werden für die Gruppe auf höherer Ebene ebenfalls zurückgeliefert und Elterngruppen werden zurückgeliefert, wenn nach den Gruppen eines bestimmten Nutzers gesucht wird. Die Vorgabe ist, keine zusätzlichen Suchen nach verschachtelten Gruppen durchzuführen.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck nss-getgrent-skipmembers ¶Wenn diese Einstellung aktiviert ist, wird die Liste der Gruppenmitglieder beim Auflösen von Gruppen nicht angefragt. Zu welchen Gruppen ein Benutzer gehört, kann weiterhin angefragt werden, damit dem Benutzer bei der Anmeldung wahrscheinlich dennoch die richtigen Gruppen zugeordnet werden.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck nss-disable-enumeration ¶Wenn diese Einstellung aktiviert ist, scheitern Funktionen, die alle Benutzer-/Gruppeneinträge aus dem Verzeichnis zu laden versuchen. Dadurch kann die Auslastung von LDAP-Servern wesentlich reduziert werden, wenn es eine große Anzahl von Benutzern und/oder Gruppen gibt. Diese Einstellung wird für die meisten Konfigurationen nicht empfohlen.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette validnames ¶Mit dieser Einstellung kann festgelegt werden, wie Benutzer- und Gruppennamen vom System geprüft werden. Das angegebene Muster wird zur Prüfung aller Benutzer- und Gruppennamen benutzt, die über LDAP angefragt und zurückgeliefert werden.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck ignorecase ¶Hiermit wird festgelegt, ob bei Suchen nach passenden Einträgen nicht auf Groß- und Kleinschreibung geachtet wird. Wenn Sie dies aktivieren, könnte es zu Sicherheitslücken kommen, mit denen Autorisierungen umgangen („Authorization Bypass“) oder der nscd-Zwischenspeicher vergiftet werden kann („Cache Poisoning“), was gezielte Überlastungen ermöglichen würde („Denial of Service“).
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck pam-authc-ppolicy ¶Mit dieser Einstellung wird festgelegt, ob Passwortrichtliniensteuerung vom LDAP-Server angefragt und behandelt wird, wenn Nutzer authentifiziert werden.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette pam-authc-search ¶Nach Vorgabe führt nslcd eine LDAP-Suche nach jeder BIND-Operation (zur Authentisierung) durch, um sicherzustellen, dass die BIND-Operation erfolgreich durchgeführt wurde. Die vorgegebene Suche ist eine einfache Überprüfung, ob der DN eines Benutzers existiert. Hier kann ein Suchfilter angegeben werden, der stattdessen benutzt werden soll. Er sollte mindestens einen Eintrag liefern.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette pam-authz-search ¶Diese Einstellung ermöglicht flexible Feineinstellungen an der durchzuführenden Autorisierungsprüfung. Der angegebene Suchfilter wird ausgeführt, woraufhin Zugriff gewährt wird, wenn mindestens ein Eintrag passt, andernfall wird der Zugriff verweigert.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Vielleicht-Zeichenkette pam-password-prohibit-message ¶Wenn diese Einstellung festgelegt wurde, werden Passwortänderungen über pam_ldap abgelehnt und dem Anwender wird stattdessen die festgelegte Nachricht gezeigt. Die Nachricht kann benutzt werden, um den Anwender auf alternative Methoden aufmerksam zu machen, wie er sein Passwort ändern kann.
Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).
nslcd-configuration-Parameter: Liste pam-services ¶Die Liste der PAM-Dienstnamen, für die eine LDAP-Authentisierung als ausreichend gilt.
Die Vorgabe ist ‘()’.
Nächste: Web-Dienste, Vorige: Kerberos-Dienste, Nach oben: Dienste [Inhalt][Index]