到目前为止,据我所知,它得到一个用户名/密码对,然后它searchLDAP的用户名,并尝试login到LDAP使用专有名称和密码对,如果成功,那么authentication成功,如果没有那么它不是。
那么这与模式匹配呢?
PAM是否需要一个绝对最小的模式(例如:只包含dn和密码的东西),还是configuration为在特定字段名称中search用户名上的匹配项,然后将密码与另一个指定字段中的密码进行比较?
有一些默认架构可以用于此目的,但是如果确实需要,可以configurationLDAP模块以准确地告诉它在哪里可以find可能的用户。 这是如何完成的取决于所使用的PAM模块(例如, pam-ldap , pam-ldapd或sssd )。
您需要的最less数量的字段是用户名,数字uid,主目录,shell和密码。
只是想posixAccount一个, posixAccount objectClass呢? 在OpenLDAP中包含在nis架构文件中:
olcObjectClasses: {0}( 1.3.6.1.1.1.2.0 NAME 'posixAccount' DESC 'Abstraction o f an account with POSIX attributes' SUP top AUXILIARY MUST ( cn $ uid $ uidNu mber $ gidNumber $ homeDirectory ) MAY ( userPassword $ loginShell $ gecos $ description ) )
因为它辅助你仍然需要一个结构objectClass,例如人。