之前用 OpenLDAP + PAM 來替 server 做一些服務的認證,
因為偷懶直接修改 pam 的四個設定檔,
以致每當比對密碼時若從 LDAP 查不到,會重新詢問一次密碼。
今天查了一下,終於搞定。
pam 的認証模組可用的參數有幾個,其中有關 password 如下
use_first_pass、try_first_pass、use_mapped_pass、try_mapped_pass。
而 pam 的設定檔部份我修改如下
/etc/pam.d/common-account
account sufficient pam_ldap.so
account required pam_unix.so try_first_pass
/etc/pam.d/common-session
session required pam_mkhomedir.so skel=/etc/skel
session sufficient pam_ldap.so
session required pam_unix.so try_first_pass
/etc/pam.d/common-auth
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure try_first_pass
/etc/pam.d/common-password
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass
