Description Felix Botner 2011-07-14 17:17:23 CEST

unsere common-auth (2.4 und 3.0) sieht so aus:

...
auth     [success=done 
          new_authtok_reqd=ok          
          user_unknown=ignore
          service_err=die
          authinfo_unavail=die          
          default=ignore]   pam_krb5.so use_first_pass

auth     [success=done 
          new_authtok_reqd=ok          
          user_unknown=die          
          service_err=die 
          authinfo_unavail=die          
          default=die]      pam_ldap.so use_first_pass
...

das "service_err=die" und/oder "authinfo_unavail=die" in der kerberos Zeile führt dazu, dass man sich bei nicht laufendem Kerberos nicht anmelden kann. Dann ist aber die LDAP Zeile aber eigentlich sinnlos. Besser wäre es vielleicht nach gescheiterter Kerberos Auhtentifizierung mit LDAP weiter zu machen.