Eine Benutzerverwaltung über LDAP ist eine feine Sache. Problematisch wird es, wenn ein Benutzer sich über LDAP anmelden möchte und der LDAP-Server nicht zur Verfügung steht, z.B. weil es sich um ein Notebook eines Außendienstmitarbeiters handelt. Unter Windows ist dies meist ohne Probleme möglich, sofern der entsprechende Benutzer sich ein Mal in Gegenwart des LDAP-Servers an dem Notebook angemeldet hat.

Unter Linux ist etwas Zusatzarbeit nötig:

sudo apt-get install nss-updatedb libnss-db libpam-ccreds

Anschließend wird #/etc/nsswitch.conf editiert:

passwd:         files ldap [NOTFOUND=return] db
group:          files ldap [NOTFOUND=return] db

Diese Änderung führt dazu, dass wenn ein Benutzer weder in files (also /etc/passwd), noch über LDAP gefunden werden kann, eine lokale Benutzerdatenbank genutzt wird. Diese Datenbank wird mit sudo nss_updatedb ldap erzeugt. Der Befehl sollte von Zeit zu Zeit erneut ausgeführt werden, damit Änderungen am LDAP-Verzeichnis korrekt in die lokale Datenbank übernommen werden.

Anschließend wird der Befehl pam-auth-update ausgeführt, dieser trägt die lokale Datenbank korrekt in die Dateien unter /etc/pam.d/ ein.

Next Post Previous Post