Page suivantePage précédenteTable des matières

8. Mots de passe Shadow avec NIS et PAM

L'utilisation des mots de passe Shadow avec NIS est toujours une mauvaise idée. Vous perdez toute la sécurité apportée par le système Shadow. Une bonne façon d'éviter les mots de passe Shadow avec NIS est de ne mettre dans le fichier /etc/shadow que les utilisateurs du système local. Enlevez de la base de données Shadow toutes les entrées correspondant aux utilisateurs NIS, et remettez les mots de passe dans /etc/passwd. Vous pourrez ainsi utiliser le système Shadow pour le super-utilisateur (i.e. "root"), et les mots de passe classiques pour les utilisateurs NIS. Cette solution a l'avantage de pouvoir fonctionner avec tous les clients NIS.

Si cette option n'est pas possible pour vous, il faudra utiliser la bibliothèque GNU C 2.x. C'est la seule bibliothèque libc pour Linux qui gère l'utilisation des mots de passe Shadow avec NIS. Sous Linux, la libc5 ne le permet pas. La libc5 compilée avec le support de NYS contient une partie de code permettant le mélange Shadow - NIS, mais ce code présente de sérieuses erreurs dans certains cas et ne fonctionne pas correctement avec toutes les entrées Shadow.

Le problème suivant est PAM. La bibliothèque GNU C gère l'utilisation des mots de passe Shadow avec NIS, mais PAM ne le fait pas, essentiellement pam_pwdb/libpwdb. C'est un gros problème pour les utilisateurs de RedHat 5.x. Si vous avez glibc et PAM, vous devez changer les entrées dans /etc/pam.d/*. Changez toutes les entrées de pam_pwdb par l'intermédiaire des modules pam_auth_unix_*. Cette méthode devrait fonctionner.


Page suivantePage précédenteTable des matières