From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <den@academ.org>
From: "Denis S. Filimonov" <den@academ.org>
To: community@altlinux.ru
Subject: Re: [Comm] /etc/passwd -> LDAP: pam_tcb -> pam_ldap?
Date: Sat, 17 Apr 2004 13:26:41 +0700
User-Agent: KMail/1.6.2
References: <4080C12C.6010901@rmts.donpac.ru> <4080C78D.1020504@rmts.donpac.ru>
In-Reply-To: <4080C78D.1020504@rmts.donpac.ru>
MIME-Version: 1.0
Content-Disposition: inline
Content-Type: text/plain;
  charset="koi8-r"
Content-Transfer-Encoding: 8bit
Message-Id: <200404171326.41781.den@academ.org>
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.4
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <http://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Sat, 17 Apr 2004 06:26:42 -0000
Archived-At: <http://lore.altlinux.org/community/200404171326.41781.den@academ.org/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Saturday 17 April 2004 12:58, Eugene Prokopiev wrote:
> Eugene Prokopiev пишет:
> > Выяснилось, что для нормальной работы необходимо еще что-то
> > прописывать в /etc/pam.d. Пытался делать по аналогии, но добавление
> > pam_ldap приводило только к Segmentation fault при su - vasya.
> >
> > Собственно вопрос: как все-таки на ALM22 сделать это правильно?
> > Поделитесь, пожалуйста, работающими конфигами.
>
> Скопировал содержимое /usr/share/doc/pam_ldap-157/pam.d поверх
> /etc/pam.d - странно, что раньше не догадался
>
> $ su - vasya наконец заработал
>
> Но не могу ни по ssh под Васей зайти, ни от Вас сделать su -, хотя он
> в группе wheel (члены этой группы, сидящие в /etc/passwd, могут это
> сделать). Проверить подключение с консоли не могу - компьютер далеко.
> Куда копать дальше?
посмотрите на /etc/pam.d/sshd -- он использует 
system-auth-use_first_pass
Вот пример рабочих файлов, но применять их тоже нужно с пониманием:
system-auth
------
#%PAM-1.0
auth            required      /lib/security/pam_ldap.so
#auth           required        /lib/security/pam_tcb.so shadow fork 
nullok
account         required        /lib/security/pam_access.so
account         required      /lib/security/pam_ldap.so
#account        required        /lib/security/pam_tcb.so shadow fork
password        required      /lib/security/pam_ldap.so
#password       required        /lib/security/pam_passwdqc.so 
min=disabled,24,12,8,
7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users 
retry=3
#password       required        /lib/security/pam_tcb.so use_authtok 
shadow fork pr
efix=$2a$ count=8 write_to=tcb
#session                required        /lib/security/pam_tcb.so
session         required        /lib/security/pam_limits.so
-------------
system-auth-use_first_pass
-------------
#%PAM-1.0
auth            required      /lib/security/pam_ldap.so use_first_pass
#auth   required        /lib/security/pam_tcb.so shadow fork nullok 
use_first_pass
password        required      /lib/security/pam_ldap.so
#password       required        /lib/security/pam_tcb.so use_authtok 
shadow fork pr
efix=$2a$ count=8 write_to=tcb
------------
-- 
Sincerely,
Denis.