* [Comm] /etc/passwd -> LDAP: pam_tcb -> pam_ldap?
@ 2004-04-17 5:31 Eugene Prokopiev
2004-04-17 5:58 ` Eugene Prokopiev
0 siblings, 1 reply; 4+ messages in thread
From: Eugene Prokopiev @ 2004-04-17 5:31 UTC (permalink / raw)
To: community
Здравствуйте!
Чуть раньше о том же самом я уже писал. Но ситуация изменилась,
пользователи LDAP в сам LDAP уже заходят :)
Имеем:
$ ldapsearch -LLL -H ldap://localhost -b
"dc=myserver,dc=myprovider,dc=ru" -D
"cn=vasya,cn=Users,dc=myserver,dc=myprovider,dc=ru" -w "1"
dn: dc=myserver, dc=myprovider, dc=ru
objectClass: top
dn: cn=Users, dc=myserver, dc=myprovider, dc=ru
objectClass: top
dn: cn=vasya, cn=Users, dc=myserver, dc=myprovider, dc=ru
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: vasya
uid: vasya
uidNumber: 1000
gidNumber: 10
homeDirectory: /home/vasya
loginShell: /bin/bash
userPassword:: e1NTSEF9M2J1TWFKQ2I4WEpSbFVKTjRPWDVhRjZCVmttYlhxNXg=
Т.е. Васю в LDAP пускают (а не пускали из-за неправильного вызова
ldapsearch - не те ключи использовал).
Остальное без особых изменений:
# grep ^[a-z] /etc/ldap.conf
host 127.0.0.1
base dc=myserver,dc=myprovider,dc=ru
bindpw secret
rootbinddn cn=manager,dc=myserver,dc=myprovider,dc=ru
# grep ^[a-z] /etc/nsswitch.conf | grep ldap
passwd: files ldap nisplus nis
shadow: tcb ldap files nisplus nis
group: files ldap nisplus nis
Т.е. в духе того, что написано в Руководстве администратора. И id у меня
действительно работает так, как там описано:
# id vasya
uid=1000(vasya) gid=10(wheel) groups=10(wheel)
А вот следующий шаг не работает:
$ su - vasya
Password:
su: Authentication failure
Apr 17 09:15:06 john-ws pam_tcb[30339]: su: Authentication failed for
vasya from john(uid=501)
А почему pam_tcb, а не pam_ldap? По словам pam_tcb и ldap нашел в
search.altlinux.ru два обсуждения, в которых люди сталкивались с
проблемами, но проблемы были другими и дело было не на ALM22.
Выяснилось, что для нормальной работы необходимо еще что-то прописывать
в /etc/pam.d. Пытался делать по аналогии, но добавление pam_ldap
приводило только к Segmentation fault при su - vasya.
Собственно вопрос: как все-таки на ALM22 сделать это правильно?
Поделитесь, пожалуйста, работающими конфигами.
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [Comm] /etc/passwd -> LDAP: pam_tcb -> pam_ldap?
2004-04-17 5:31 [Comm] /etc/passwd -> LDAP: pam_tcb -> pam_ldap? Eugene Prokopiev
@ 2004-04-17 5:58 ` Eugene Prokopiev
2004-04-17 6:13 ` Eugene Prokopiev
2004-04-17 6:26 ` Denis S. Filimonov
0 siblings, 2 replies; 4+ messages in thread
From: Eugene Prokopiev @ 2004-04-17 5:58 UTC (permalink / raw)
To: community
Eugene Prokopiev пишет:
> Выяснилось, что для нормальной работы необходимо еще что-то прописывать
> в /etc/pam.d. Пытался делать по аналогии, но добавление pam_ldap
> приводило только к Segmentation fault при su - vasya.
>
> Собственно вопрос: как все-таки на ALM22 сделать это правильно?
> Поделитесь, пожалуйста, работающими конфигами.
Скопировал содержимое /usr/share/doc/pam_ldap-157/pam.d поверх
/etc/pam.d - странно, что раньше не догадался
$ su - vasya наконец заработал
Но не могу ни по ssh под Васей зайти, ни от Вас сделать su -, хотя он в
группе wheel (члены этой группы, сидящие в /etc/passwd, могут это
сделать). Проверить подключение с консоли не могу - компьютер далеко.
Куда копать дальше?
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [Comm] /etc/passwd -> LDAP: pam_tcb -> pam_ldap?
2004-04-17 5:58 ` Eugene Prokopiev
@ 2004-04-17 6:13 ` Eugene Prokopiev
2004-04-17 6:26 ` Denis S. Filimonov
1 sibling, 0 replies; 4+ messages in thread
From: Eugene Prokopiev @ 2004-04-17 6:13 UTC (permalink / raw)
To: community
Eugene Prokopiev пишет:
> Eugene Prokopiev пишет:
>
>> Выяснилось, что для нормальной работы необходимо еще что-то
>> прописывать в /etc/pam.d. Пытался делать по аналогии, но добавление
>> pam_ldap приводило только к Segmentation fault при su - vasya.
>>
>> Собственно вопрос: как все-таки на ALM22 сделать это правильно?
>> Поделитесь, пожалуйста, работающими конфигами.
>
>
> Скопировал содержимое /usr/share/doc/pam_ldap-157/pam.d поверх
> /etc/pam.d - странно, что раньше не догадался
>
> $ su - vasya наконец заработал
>
> Но не могу ни по ssh под Васей зайти, ни от Вас сделать su -, хотя он в
> группе wheel (члены этой группы, сидящие в /etc/passwd, могут это
> сделать). Проверить подключение с консоли не могу - компьютер далеко.
> Куда копать дальше?
нет, su - отвалилось у всех, надо туда ехать :(
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [Comm] /etc/passwd -> LDAP: pam_tcb -> pam_ldap?
2004-04-17 5:58 ` Eugene Prokopiev
2004-04-17 6:13 ` Eugene Prokopiev
@ 2004-04-17 6:26 ` Denis S. Filimonov
1 sibling, 0 replies; 4+ messages in thread
From: Denis S. Filimonov @ 2004-04-17 6:26 UTC (permalink / raw)
To: community
On Saturday 17 April 2004 12:58, Eugene Prokopiev wrote:
> Eugene Prokopiev пишет:
> > Выяснилось, что для нормальной работы необходимо еще что-то
> > прописывать в /etc/pam.d. Пытался делать по аналогии, но добавление
> > pam_ldap приводило только к Segmentation fault при su - vasya.
> >
> > Собственно вопрос: как все-таки на ALM22 сделать это правильно?
> > Поделитесь, пожалуйста, работающими конфигами.
>
> Скопировал содержимое /usr/share/doc/pam_ldap-157/pam.d поверх
> /etc/pam.d - странно, что раньше не догадался
>
> $ su - vasya наконец заработал
>
> Но не могу ни по ssh под Васей зайти, ни от Вас сделать su -, хотя он
> в группе wheel (члены этой группы, сидящие в /etc/passwd, могут это
> сделать). Проверить подключение с консоли не могу - компьютер далеко.
> Куда копать дальше?
посмотрите на /etc/pam.d/sshd -- он использует
system-auth-use_first_pass
Вот пример рабочих файлов, но применять их тоже нужно с пониманием:
system-auth
------
#%PAM-1.0
auth required /lib/security/pam_ldap.so
#auth required /lib/security/pam_tcb.so shadow fork
nullok
account required /lib/security/pam_access.so
account required /lib/security/pam_ldap.so
#account required /lib/security/pam_tcb.so shadow fork
password required /lib/security/pam_ldap.so
#password required /lib/security/pam_passwdqc.so
min=disabled,24,12,8,
7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users
retry=3
#password required /lib/security/pam_tcb.so use_authtok
shadow fork pr
efix=$2a$ count=8 write_to=tcb
#session required /lib/security/pam_tcb.so
session required /lib/security/pam_limits.so
-------------
system-auth-use_first_pass
-------------
#%PAM-1.0
auth required /lib/security/pam_ldap.so use_first_pass
#auth required /lib/security/pam_tcb.so shadow fork nullok
use_first_pass
password required /lib/security/pam_ldap.so
#password required /lib/security/pam_tcb.so use_authtok
shadow fork pr
efix=$2a$ count=8 write_to=tcb
------------
--
Sincerely,
Denis.
^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2004-04-17 6:26 UTC | newest]
Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-04-17 5:31 [Comm] /etc/passwd -> LDAP: pam_tcb -> pam_ldap? Eugene Prokopiev
2004-04-17 5:58 ` Eugene Prokopiev
2004-04-17 6:13 ` Eugene Prokopiev
2004-04-17 6:26 ` Denis S. Filimonov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git