* [Comm] OpenLDAP
@ 2003-11-03 9:48 Dmitry Nechaev
2003-11-03 22:03 ` Taras Ablamsky
0 siblings, 1 reply; 5+ messages in thread
From: Dmitry Nechaev @ 2003-11-03 9:48 UTC (permalink / raw)
To: community
Люди. Подскажите, пожалуйста, как настроить клиента на авторизацию через
OpanLDAP. Есть ALT Linux Master 2.2, нужно, чтоб пользователи логинились
через OpenLDAP-сервер. Сервер-то я настроил, а вот с клиентом чего-то
недопонимаю... Поделитесь примерами конфигурационных файлов, если можно.
Спасибо
Дмитрий.
--
2.4.20-alt5-up GNU/Linux
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] OpenLDAP
2003-11-03 9:48 [Comm] OpenLDAP Dmitry Nechaev
@ 2003-11-03 22:03 ` Taras Ablamsky
2003-11-04 5:23 ` Alexey I. Froloff
0 siblings, 1 reply; 5+ messages in thread
From: Taras Ablamsky @ 2003-11-03 22:03 UTC (permalink / raw)
To: community
Dmitry Nechaev пишет:
>Люди. Подскажите, пожалуйста, как настроить клиента на авторизацию через
>OpanLDAP. Есть ALT Linux Master 2.2, нужно, чтоб пользователи логинились
>через OpenLDAP-сервер. Сервер-то я настроил, а вот с клиентом чего-то
>недопонимаю... Поделитесь примерами конфигурационных файлов, если можно.
>
t@lcomp2 ~ $ grep "^[^#]" /etc/ldap.conf
host 10.10.4.7
base dc=mf, dc=volsu, dc=ru
uri ldap://10.10.4.7/
pam_login_attribute uid
pam_template_login_attribute uid
pam_template_login nobody
pam_password md5
nss_base_passwd ou=People,dc=mf,dc=volsu,dc=ru?one
nss_base_shadow ou=People,dc=mf,dc=volsu,dc=ru?one
nss_base_group ou=Group,dc=mf,dc=volsu,dc=ru?one
nss_base_hosts ou=Hosts,dc=mf,dc=volsu,dc=ru?one
t@lcomp2 ~ $ grep "^[^#]" /etc/nsswitch.conf
passwd: files ldap nisplus nis
shadow: tcb files ldap nisplus nis
group: files ldap nisplus nis
hosts: files ldap nisplus nis dns
ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files
bootparams: nisplus [NOTFOUND=return] files
netgroup: nisplus
publickey: nisplus
t@lcomp2 ~ $ cat /etc/pam.d/system-auth
#%PAM-1.0
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_tcb.so shadow fork prefix=$2a$
count=8 nullok use_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_tcb.so shadow fork
password required /lib/security/pam_passwdqc.so
min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
random=42 enforce=users retry=3
password sufficient /lib/security/pam_ldap.so use_authtok
password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
session required /lib/security/pam_tcb.so
session required /lib/security/pam_limits.so
t@lcomp2 ~ $ cat /etc/pam.d/system-auth-use_first_pass
#%PAM-1.0
auth sufficient /lib/security/pam_ldap.so use_first_pass
auth required /lib/security/pam_tcb.so shadow fork prefix=$2a$
count=8 nullok use_first_pass
password sufficient /lib/security/pam_ldap.so use_first_pass
password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
t@lcomp2 ~ $
Это все на ALM2.2.
--
Taras Ablamsky
Volgograd Linux User Group
http://volgograd.lug.ru/
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] OpenLDAP
2003-11-03 22:03 ` Taras Ablamsky
@ 2003-11-04 5:23 ` Alexey I. Froloff
2003-11-04 20:08 ` Taras Ablamsky
0 siblings, 1 reply; 5+ messages in thread
From: Alexey I. Froloff @ 2003-11-04 5:23 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1173 bytes --]
* Taras Ablamsky <t@v-lug.vlink.ru> [031104 01:16]:
> t@lcomp2 ~ $ cat /etc/pam.d/system-auth
> #%PAM-1.0
> auth sufficient /lib/security/pam_ldap.so
> auth required /lib/security/pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass
> account sufficient /lib/security/pam_ldap.so
> account required /lib/security/pam_tcb.so shadow fork
> password required /lib/security/pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3
> password sufficient /lib/security/pam_ldap.so use_authtok
> password required /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb
Есть мнение, что сюда стОит добавить pam_mkhomedir (по аналогии с
system-auth-winbind)
> session required /lib/security/pam_tcb.so
> session required /lib/security/pam_limits.so
--
Regards, Sir Raorn.
-------------------
> ps afux | grep <fakeuser> | grep -v grep | awk '{print $1;}' | uniq
Опять races.
Есть тут один способ как-то с этим бороться, kill -1 -9 называется.
-- ldv in devel@
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] OpenLDAP
2003-11-04 5:23 ` Alexey I. Froloff
@ 2003-11-04 20:08 ` Taras Ablamsky
2003-11-05 7:36 ` Dmitry Nechaev
0 siblings, 1 reply; 5+ messages in thread
From: Taras Ablamsky @ 2003-11-04 20:08 UTC (permalink / raw)
To: community
Alexey I. Froloff пишет:
>* Taras Ablamsky <t@v-lug.vlink.ru> [031104 01:16]:
>
>
>>t@lcomp2 ~ $ cat /etc/pam.d/system-auth
>>#%PAM-1.0
>>auth sufficient /lib/security/pam_ldap.so
>>auth required /lib/security/pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass
>>account sufficient /lib/security/pam_ldap.so
>>account required /lib/security/pam_tcb.so shadow fork
>>password required /lib/security/pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3
>>password sufficient /lib/security/pam_ldap.so use_authtok
>>password required /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb
>>
>>
>
>Есть мнение, что сюда стОит добавить pam_mkhomedir (по аналогии с
>system-auth-winbind)
>
>
Это если нужно чтобы $HOME создавался автоматически.
Меня это смущает несколько, а $HOME создается в скрипте, которым
и добавляется пользователь. Хотя может и имеет смысл добавить
pam_mkhomedir...
Надо бы посмотреть что она делает и, самое главное, как.
--
taras
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] OpenLDAP
2003-11-04 20:08 ` Taras Ablamsky
@ 2003-11-05 7:36 ` Dmitry Nechaev
0 siblings, 0 replies; 5+ messages in thread
From: Dmitry Nechaev @ 2003-11-05 7:36 UTC (permalink / raw)
To: community
В сообщении от Вторник 04 Ноябрь 2003 23:08 Taras Ablamsky написал(a):
> Alexey I. Froloff пишет:
> >* Taras Ablamsky <t@v-lug.vlink.ru> [031104 01:16]:
> >>t@lcomp2 ~ $ cat /etc/pam.d/system-auth
> >>#%PAM-1.0
> >>auth sufficient /lib/security/pam_ldap.so
> >>auth required /lib/security/pam_tcb.so shadow fork prefix=$2a$
> >> count=8 nullok use_first_pass account sufficient
> >> /lib/security/pam_ldap.so
> >>account required /lib/security/pam_tcb.so shadow fork
> >>password required /lib/security/pam_passwdqc.so
> >> min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
> >> random=42 enforce=users retry=3 password sufficient
> >> /lib/security/pam_ldap.so use_authtok password required
> >> /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8
> >> write_to=tcb
> >
> >Есть мнение, что сюда стОит добавить pam_mkhomedir (по аналогии с
> >system-auth-winbind)
>
> Это если нужно чтобы $HOME создавался автоматически.
> Меня это смущает несколько, а $HOME создается в скрипте, которым
> и добавляется пользователь. Хотя может и имеет смысл добавить
> pam_mkhomedir...
> Надо бы посмотреть что она делает и, самое главное, как.
Это описано в мандрейковской доке:
=== quote begins ===
If you want to be able to have the system create home directories on the fly
(ie. you enter a user into the LDAP database but have not created a home
directory for them on the system), you can use the pam_mkhomedir module.
Replace the above "session" entries in system-auth with (and note the line
wrap):
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022
session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so
session optional /lib/security/pam_ldap.so
This will create a home directory for the user, on the fly, using /etc/skel as
the skeleton directory (which is the standard when creating new system users
anyways).
=== quote ends ===
У меня теперь другая проблема.
Пользователь авторизуется нормально, но в шелл войти не может - его выкидывает
сразу. В логах - Session opened for user [user], и сразу же Session closed
for user [user]. Шелл прописан валидный (/bin/bash), homedir /tmp. На хосте,
где крутится сервер LDAP, пользователь входит без проблем, хотя там и
homedir-а для него нет.
--
2.4.20-alt5-up GNU/Linux
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2003-11-05 7:36 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-11-03 9:48 [Comm] OpenLDAP Dmitry Nechaev
2003-11-03 22:03 ` Taras Ablamsky
2003-11-04 5:23 ` Alexey I. Froloff
2003-11-04 20:08 ` Taras Ablamsky
2003-11-05 7:36 ` Dmitry Nechaev
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git