That makes it worse.  See log output with it both ways at <a href="http://pastebin.com/m5fca56">http://pastebin.com/m5fca56</a>.<br><br>With the pam_ldap line where it was, I&#39;m at least able to get &quot;(Invalid credentials)&quot; returned from pam_ldap;when moved up above the pam_unix line, pam_ldap never makes a response.<br>
<br><br><br><a href="http://pastebin.com/m5fca56">http://pastebin.com/m5fca56</a><br><br><div class="gmail_quote">On Wed, Jun 3, 2009 at 12:50 PM, Jim Kinney <span dir="ltr">&lt;<a href="mailto:jim.kinney@gmail.com">jim.kinney@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">move the pam_ladp line up one. The line above it will always capture<br>
an event and the ldap line is never called. pam is a sequential<br>
process down the chain.<br>
<br>
In fact, if you want to tighten the security, put the pam_deny line<br>
before any &quot;sufficient&quot; lines in auth.<br>
<div><div></div><div class="h5"><br>
On Wed, Jun 3, 2009 at 12:36 PM, Jeff Hubbs&lt;<a href="mailto:jeffrey.hubbs@gmail.com">jeffrey.hubbs@gmail.com</a>&gt; wrote:<br>
&gt; Jerald -<br>
&gt;<br>
&gt; That line is in there...in fact, let me paste the whole system-auth file:<br>
&gt;<br>
&gt; #%PAM-1.0<br>
&gt;<br>
&gt; auth            required        pam_env.so<br>
&gt; auth            sufficient      pam_unix.so try_first_pass likeauth nullok<br>
&gt; auth            sufficient      pam_ldap.so use_first_pass<br>
&gt; auth            required        pam_deny.so<br>
&gt;<br>
&gt; account         required        pam_unix.so<br>
&gt; account         sufficient      pam_ldap.so<br>
&gt;<br>
&gt; password        required        pam_cracklib.so difok=2 minlen=8 dcredit=2<br>
&gt; ocredit=2 try_first_pass retry=3<br>
&gt; password        sufficient      pam_unix.so try_first_pass nullok md5 shadow<br>
&gt; use_authtok<br>
&gt; password        sufficient      pam_ldap.so use_authtok<br>
&gt; password        required        pam_deny.so<br>
&gt;<br>
&gt; session         required        pam_limits.so<br>
&gt; session         required        pam_unix.so<br>
&gt; session         optional        pam_ldap.so<br>
&gt;<br>
&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; Also, to let pam know about ldap, look for a line like so:<br>
&gt;&gt;<br>
&gt;&gt; auth        sufficient    pam_ldap.so use_first_pass<br>
&gt;&gt;<br>
&gt;&gt; in /etc/pam.d/system-auth<br>
&gt;&gt;<br>
&gt;&gt; Also, if you want to have home directories automagically made for<br>
&gt;&gt; first-time logins, you need:<br>
&gt;&gt;<br>
&gt;&gt; session     required      pam_mkhomedir.so<br>
&gt;<br>
&gt; Cool trick - dunno if I&#39;ll use that now but it&#39;s good to know.<br>
&gt;<br>
&gt; Thanks,<br>
&gt; Jeff<br>
&gt;<br>
</div></div>&gt; _______________________________________________<br>
&gt; Ale mailing list<br>
&gt; <a href="mailto:Ale@ale.org">Ale@ale.org</a><br>
&gt; <a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>
&gt;<br>
&gt;<br>
<br>
<br>
<br>
--<br>
<font color="#888888">--<br>
James P. Kinney III<br>
Actively in pursuit of Life, Liberty and Happiness<br>
<br>
_______________________________________________<br>
Ale mailing list<br>
<a href="mailto:Ale@ale.org">Ale@ale.org</a><br>
<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>
</font></blockquote></div><br>