O PAM será o responsável por autenticar os usuários reconhecidos pela pesquisa do NSS, armazenados na base LDAP. O módulo do PAM para LDAP é o "libpam-ldap", que por sua vez é instalado junto com o pacote "libnss-ldap".

sudo dpkg-reconfigure libpam-ldap

O processo é semelhante ao da instalação do "libnss-ldap", com a primeira tela solicitando o endereço do servidor LDAP. Informe a raiz do diretório LDAP: Escolha a versão 3 do LDAP: Fornecendo privilégios à conta administrativa do LDAP. Escolha "Sim". A base de dados não requer autenticação: Verique e confirme a conta administrativa do LDAP: Insira a senha da conta administrativa do LDAP: Mantenha a opção "Criptografar": Marque a opção "Create home directory on login" e prossiga:

Configurações adicionais do PAM

Após o processo de configuração principal do "libpam-ldap", é necessario configurar os arquivos /etc/pam.d/common-account, /etc/pam.d/common-auth e /etc/pam.d/common-password. A configuração dos arquivos deverá estar de acordo com a imagens abaixo.

Arquivo /etc/pam.d/commom-account:

# vi /etc/pam.d/commom-account Arquivo /etc/pam.d/commom-auth:

# vi /etc/pam.d/commom-auth Arquivo /etc/pam.d/common-password:

# vi /etc/pam.d/common-password ATENÇÃO: a configuração abaixo só se faz necessária, caso o serviço PAM e a base de dados LDAP estejam localizados em servidores DISTINTOS.

TLS: para ativar a criptografia TLS na comunição do PAM com o servidor LDAP.

Editar o arquivo /etc/pam_ldap.conf, descomentando a linha referente ao TLS:

# vi /etc/pam_ldap.conf Editar o arquivo /etc/ldap/ldap.conf:

# vi /etc/ldap/ldap.conf Na linha "TLS_CACERT", se faz necessário alterar o nome padrão do certificado "ca-certificates.crt" para o nome do arquivo de certificado utilizado pelo servidor.

NOTA: o certificado do servidor, seja ele auto-assinado ou certificado por uma autoridade certificadora (CA), deve ser colocado em /etc/ssl/certs e a permissão de acesso ajustada para 644.