* [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
@ 2004-04-19 7:08 Eugene Prokopiev
2004-04-19 9:15 ` Nick S. Grechukh
` (4 more replies)
0 siblings, 5 replies; 15+ messages in thread
From: Eugene Prokopiev @ 2004-04-19 7:08 UTC (permalink / raw)
To: community
Здравствуйте!
Как сделать так, чтобы в системе могли авторизоваться пользователи,
прописанные как в /etc/passwd, так и в ldap?
On Saturday 17 April 2004 12:58 Denis S. Filimonov поделился своими
рабочими конфигами:
system-auth:
#%PAM-1.0
auth required /lib/security/pam_ldap.so
#auth required /lib/security/pam_tcb.so shadow fork nullok
account required /lib/security/pam_access.so
account required /lib/security/pam_ldap.so
#account required /lib/security/pam_tcb.so shadow fork
password required /lib/security/pam_ldap.so
#password required /lib/security/pam_passwdqc.so
min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
random=42 enforce=users retry=3
#password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
#session required /lib/security/pam_tcb.so
session required /lib/security/pam_limits.so
system-auth-use_first_pass:
#%PAM-1.0
auth required /lib/security/pam_ldap.so use_first_pass
#auth required /lib/security/pam_tcb.so shadow fork
nullok use_first_pass
password required /lib/security/pam_ldap.so
#password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
Насколько я понял, в таком варианте используется только ldap. Мне же
нужно сохранить и то, что было, добавив пользователей из ldap. Написал
следующее:
system-auth:
#%PAM-1.0
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_tcb.so shadow fork
prefix=$2a$ count=8 nullok
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_tcb.so shadow fork
password required /lib/security/pam_passwdqc.so
min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
random=42 enforce=users retry=3
password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
session required /lib/security/pam_tcb.so
session required /lib/security/pam_limits.so
system-auth-use_first_pass:
#%PAM-1.0
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_tcb.so shadow fork
prefix=$2a$ count=8 nullok use_first_pass
password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
Т.е. просто для методов авторизации auth и account добавил sufficient
/lib/security/pam_ldap.so
После этого получилось следующее:
1. По ssh все равно пускают только пользователей из /etc/passwd,
пользователей из ldap посылают подальше со следующими словами:
Apr 19 10:51:09 john-ws pam_tcb[2060]: sshd: Authentication failed for
vasya from (uid=0)
Apr 19 10:51:11 john-ws sshd[2061]: Failed password for vasya from
192.168.46.2 port 4631
2. su - могут использовать как ldap, так и /etc/passwd-пользователи, но
для su - ldap-user пароль надо вводить один раз, а для su - passwd-user
необходимо вводить пароль дважды:
[john@john-ws john]$ su - john
Password:
Password:
[john@john-ws john]$ su - vasya
Password:
-bash-2.05b$
sshd выглядит так:
#%PAM-1.0
auth required /lib/security/pam_userpass.so
auth required /lib/security/pam_stack.so
service=system-auth-use_first_pass
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_stack.so
service=system-auth
session required /lib/security/pam_stack.so service=system-auth
su выглядит так:
#%PAM-1.0
auth sufficient /lib/security/pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel"
group.
#auth sufficient /lib/security/pam_wheel.so debug use_uid
group=wheel trust
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required /lib/security/pam_wheel.so debug use_uid group=wheel
# Uncomment the following line to implicitly trust users with same user id.
#auth sufficient /lib/security/pam_sameuid.so debug
auth required /lib/security/pam_stack.so service=system-auth
account required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_deny.so
session required /lib/security/pam_stack.so service=system-auth
session optional /lib/security/pam_xauth.so
я их не правил.
Что я сделал неправильно и как сделать правильно?
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 7:08 [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно? Eugene Prokopiev
@ 2004-04-19 9:15 ` Nick S. Grechukh
2004-04-19 9:36 ` Eugene Prokopiev
` (3 subsequent siblings)
4 siblings, 0 replies; 15+ messages in thread
From: Nick S. Grechukh @ 2004-04-19 9:15 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 876 bytes --]
В сообщении от Понедельник 19 Апрель 2004 10:08 Eugene Prokopiev написал(a):
> Здравствуйте!
>
> Как сделать так, чтобы в системе могли авторизоваться пользователи,
> прописанные как в /etc/passwd, так и в ldap?
в devel обсуждали.
проще всего имхо взять system-auth-winbind, скопировать его в system-auth-ldap
и в нем заменить winbind на ldap., а слово system-auth на system-auth-tcb.
это раз.
далее нативный system-auth переименовать в system-auth-tcb.
это два.
и сделать симлинк system-auth ссылающийся на system-auth-ldap.
это три.
результат: во все pam-конфиги ссылаются на system-auth, они его и получат. а
мы его подменили лдаповским, в котором стоит: использовать ldap (в оригинале
winbind), _и_ + system-auth-tcb, который обеспечит стандартную
аутентификацию.
--
-------------------------
WBR, Nick S. Grechukh
Refractory Trading House
network administrator
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 7:08 [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно? Eugene Prokopiev
2004-04-19 9:15 ` Nick S. Grechukh
@ 2004-04-19 9:36 ` Eugene Prokopiev
2004-04-19 11:46 ` iLya Bryzgalow
2004-04-19 9:47 ` Eugene Prokopiev
` (2 subsequent siblings)
4 siblings, 1 reply; 15+ messages in thread
From: Eugene Prokopiev @ 2004-04-19 9:36 UTC (permalink / raw)
To: community
> 2. su - могут использовать как ldap, так и /etc/passwd-пользователи, но
> для su - ldap-user пароль надо вводить один раз, а для su - passwd-user
> необходимо вводить пароль дважды:
>
> [john@john-ws john]$ su - john
> Password:
> Password:
> [john@john-ws john]$ su - vasya
> Password:
> -bash-2.05b$
эта проблема решена заменой строки
auth required /lib/security/pam_tcb.so shadow fork
prefix=$2a$ count=8 nullok
на
auth required /lib/security/pam_tcb.so shadow fork
prefix=$2a$ count=8 nullok use_first_pass
в system-auth
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 7:08 [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно? Eugene Prokopiev
2004-04-19 9:15 ` Nick S. Grechukh
2004-04-19 9:36 ` Eugene Prokopiev
@ 2004-04-19 9:47 ` Eugene Prokopiev
2004-04-19 11:00 ` Nick S. Grechukh
2004-04-19 10:35 ` Denis S. Filimonov
2004-04-19 12:17 ` Eugene Prokopiev
4 siblings, 1 reply; 15+ messages in thread
From: Eugene Prokopiev @ 2004-04-19 9:47 UTC (permalink / raw)
To: community
>> Здравствуйте!
>>
>> Как сделать так, чтобы в системе могли авторизоваться пользователи,
>> прописанные как в /etc/passwd, так и в ldap?
>
> в devel обсуждали.
>
> проще всего имхо взять system-auth-winbind, скопировать его в system-auth-ldap
> и в нем заменить winbind на ldap., а слово system-auth на system-auth-tcb.
> это раз.
У меня в system-auth-winbind слово system-auth не встречается, а
выглядит он в оригинале так:
#%PAM-1.0
auth sufficient /lib/security/pam_winbind.so
auth required /lib/security/pam_tcb.so shadow fork nullok
account sufficient /lib/security/pam_winbind.so
account required /lib/security/pam_tcb.so shadow fork
password required /lib/security/pam_passwdqc.so
min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
random=42 enforce=users retry=3
password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/
umask=0022
session required /lib/security/pam_tcb.so
session required /lib/security/pam_limits.so
Т.е., это исправленный system-auth (довольно близкий к моему, фактически
единственная разница в pam_mkhomedir.so)
> далее нативный system-auth переименовать в system-auth-tcb.
> это два.
> и сделать симлинк system-auth ссылающийся на system-auth-ldap.
> это три.
Т.е., эти шаги - лишние, по крайней мере для ALM2.2, может в Сизифе это
и не так.
> результат: во все pam-конфиги ссылаются на system-auth, они его и получат. а
> мы его подменили лдаповским, в котором стоит: использовать ldap (в оригинале
> winbind), _и_ + system-auth-tcb, который обеспечит стандартную
> аутентификацию.
Да, наверное так будет правильнее: оставить system-auth таким, каким о и
был, а на него навесить враппер, но проблема не в этом.
Проблема в том, что меня не пускаю по ssh, какие конфиги и логи еще
показать, даже и не знаю.
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 7:08 [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно? Eugene Prokopiev
` (2 preceding siblings ...)
2004-04-19 9:47 ` Eugene Prokopiev
@ 2004-04-19 10:35 ` Denis S. Filimonov
2004-04-19 11:45 ` Eugene Prokopiev
2004-04-19 12:17 ` Eugene Prokopiev
4 siblings, 1 reply; 15+ messages in thread
From: Denis S. Filimonov @ 2004-04-19 10:35 UTC (permalink / raw)
To: community
On Monday 19 April 2004 14:08, Eugene Prokopiev wrote:
> system-auth-use_first_pass:
>
> #%PAM-1.0
> auth sufficient /lib/security/pam_ldap.so
вот здесь пропущен "use_first_pass"
> auth required /lib/security/pam_tcb.so shadow fork
> prefix=$2a$ count=8 nullok use_first_pass
> password required /lib/security/pam_tcb.so use_authtok
> shadow fork prefix=$2a$ count=8 write_to=tcb
>
> Т.е. просто для методов авторизации auth и account добавил sufficient
> /lib/security/pam_ldap.so
>
> После этого получилось следующее:
>
> 1. По ssh все равно пускают только пользователей из /etc/passwd,
> пользователей из ldap посылают подальше со следующими словами:
>
> Apr 19 10:51:09 john-ws pam_tcb[2060]: sshd: Authentication failed
> for vasya from (uid=0)
> Apr 19 10:51:11 john-ws sshd[2061]: Failed password for vasya from
> 192.168.46.2 port 4631
>
> 2. su - могут использовать как ldap, так и /etc/passwd-пользователи,
> но для su - ldap-user пароль надо вводить один раз, а для su -
> passwd-user необходимо вводить пароль дважды:
да, там тоже, видимо, надо подставить use_first_pass, чтобы оно не
спрашивало еще раз.
--
Sincerely,
Denis.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 9:47 ` Eugene Prokopiev
@ 2004-04-19 11:00 ` Nick S. Grechukh
0 siblings, 0 replies; 15+ messages in thread
From: Nick S. Grechukh @ 2004-04-19 11:00 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 2692 bytes --]
В сообщении от Понедельник 19 Апрель 2004 12:47 Eugene Prokopiev написал(a):
> >> Здравствуйте!
> >>
> >> Как сделать так, чтобы в системе могли авторизоваться пользователи,
> >> прописанные как в /etc/passwd, так и в ldap?
> >
> > в devel обсуждали.
> >
> > проще всего имхо взять system-auth-winbind, скопировать его в
> > system-auth-ldap и в нем заменить winbind на ldap., а слово system-auth
> > на system-auth-tcb. это раз.
>
> У меня в system-auth-winbind слово system-auth не встречается, а
> выглядит он в оригинале так:
>
> #%PAM-1.0
> auth sufficient /lib/security/pam_winbind.so
> auth required /lib/security/pam_tcb.so shadow fork nullok
> account sufficient /lib/security/pam_winbind.so
> account required /lib/security/pam_tcb.so shadow fork
> password required /lib/security/pam_passwdqc.so
> min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
> random=42 enforce=users retry=3
> password required /lib/security/pam_tcb.so use_authtok
> shadow fork prefix=$2a$ count=8 write_to=tcb
> session required /lib/security/pam_mkhomedir.so skel=/etc/skel/
> umask=0022
> session required /lib/security/pam_tcb.so
> session required /lib/security/pam_limits.so
>
> Т.е., это исправленный system-auth (довольно близкий к моему, фактически
> единственная разница в pam_mkhomedir.so)
у меня
/etc/pam.d/system-auth-winbind
#%PAM-1.0
auth required pam_securetty.so
auth required pam_nologin.so
auth sufficient pam_winbind.so
auth include system-auth-use_first_pass
account sufficient pam_winbind.so
account include system-auth
password sufficient pam_winbind.so
password include system-auth-use_first_pass
# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session required pam_mkhomedir.so skel=/etc/skel/ umask=0026
session include system-auth
но это сизиф.
> Проблема в том, что меня не пускаю по ssh, какие конфиги и логи еще
> показать, даже и не знаю.
посмотрел на ваши конфиги.
ваш system-auth:
#%PAM-1.0
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_tcb.so shadow fork
prefix=$2a$ count=8 nullok
account sufficient /lib/security/pam_ldap.so
... скипнуто.
в строчке где auth required tcb в конце допишите use_first_pass.
(это чтоб два раза пароль не спрашивал).
с ldap м.б. посмотреть в сторону самих паролей, рутом сделав passwd
ldap-user ?
--
-------------------------
WBR, Nick S. Grechukh
Refractory Trading House
network administrator
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 10:35 ` Denis S. Filimonov
@ 2004-04-19 11:45 ` Eugene Prokopiev
2004-04-19 14:55 ` Denis S. Filimonov
0 siblings, 1 reply; 15+ messages in thread
From: Eugene Prokopiev @ 2004-04-19 11:45 UTC (permalink / raw)
To: community
Denis S. Filimonov пишет:
> On Monday 19 April 2004 14:08, Eugene Prokopiev wrote:
>
>>system-auth-use_first_pass:
>>
>>#%PAM-1.0
>>auth sufficient /lib/security/pam_ldap.so
>
> вот здесь пропущен "use_first_pass"
да, только не здесь, а в system-auth. Уже воспользовался Вашим годичной
давности советом из сизифовской рассылки :) Читал его и раньше, но дошел
до того, что он мне пригодился, только сегодня :)
>>2. su - могут использовать как ldap, так и /etc/passwd-пользователи,
>>но для su - ldap-user пароль надо вводить один раз, а для su -
>>passwd-user необходимо вводить пароль дважды:
>
> да, там тоже, видимо, надо подставить use_first_pass, чтобы оно не
> спрашивало еще раз.
нет, system-auth достаточно.
Вот только самый главный вопрос остается открытым: а что я недокрутил в ssh?
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 9:36 ` Eugene Prokopiev
@ 2004-04-19 11:46 ` iLya Bryzgalow
0 siblings, 0 replies; 15+ messages in thread
From: iLya Bryzgalow @ 2004-04-19 11:46 UTC (permalink / raw)
To: community
Mon, 19 Apr 2004 13:36:16 +0400 Eugene Prokopiev <john@rmts.donpac.ru>
сообщил:
> > 2. su - могут использовать как ldap, так и /etc/passwd-пользователи,
> > но для su - ldap-user пароль надо вводить один раз, а для su -
> > passwd-user
> > необходимо вводить пароль дважды:
> >
> > [john@john-ws john]$ su - john
> > Password:
> > Password:
> > [john@john-ws john]$ su - vasya
> > Password:
> > -bash-2.05b$
>
> эта проблема решена заменой строки
>
> auth required /lib/security/pam_tcb.so shadow fork
> prefix=$2a$ count=8 nullok
>
> на
>
> auth required /lib/security/pam_tcb.so shadow fork
> prefix=$2a$ count=8 nullok use_first_pass
>
> в system-auth
А кто-нибудь _всю_ последовательность может описать, как настроить
авторизацию через ldap и /etc/passwd? Без метода последовательного
наложений патчей "...все как в HOWTO, но это заменить на это, а это по
другому...и все должно работать...наверно...я сам не пробовал..." :-)
>
> --
> С уважением, Прокопьев Евгений
>
--
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/ _/ _/ _/
_/ iLya Bryzgalow aka iLL _/ _/ _/
_/ Linux-Astronomy-Krasnodar-Russia _/ _/ _/ _/
_/ LinuxUser 301257 _/ _/ _/ _/
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/ _/ _/_/_/ _/_/_/
i don't smoke, so wish to you!
http://www.krumn.oilnet.ru/
ftp://ftp.krumn.oilnet.ru/
JID://ill@jabber.org
e-mail://ill@krumn.oilnet.ru
kernel-2.6.5-std26-up-alt1 ALT Linux Sisyphus (20040415)
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 7:08 [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно? Eugene Prokopiev
` (3 preceding siblings ...)
2004-04-19 10:35 ` Denis S. Filimonov
@ 2004-04-19 12:17 ` Eugene Prokopiev
2004-04-19 14:21 ` Nick S. Grechukh
4 siblings, 1 reply; 15+ messages in thread
From: Eugene Prokopiev @ 2004-04-19 12:17 UTC (permalink / raw)
To: community
Прошу прощения за то, что не соблюдаю треды, но чего-то приключилось в
виндовым почтовиком, поэтому читаю через mailman, а пишу так.
Всем: спасибо за совет про use_first_pass
для iLya Bryzgalow:
Ага, очень не хватает такого документа. Если разберусь, то постараюсь
его написать и положить куда-нибудь на atmsk.ru. Не разберусь - не напишу :(
для Nick S. Grechukh:
passwd vasya не помогло :(
Интересно, что при этом поле userPassword поменялось и добавилось поле
shadowLastChange. Через su - vasya Вася заходит, через login - не знаю.
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 12:17 ` Eugene Prokopiev
@ 2004-04-19 14:21 ` Nick S. Grechukh
2004-04-19 14:35 ` Denis S. Filimonov
2004-04-20 4:51 ` Eugene Prokopiev
0 siblings, 2 replies; 15+ messages in thread
From: Nick S. Grechukh @ 2004-04-19 14:21 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1198 bytes --]
В сообщении от Понедельник 19 Апрель 2004 15:17 Eugene Prokopiev написал(a):
> Прошу прощения за то, что не соблюдаю треды, но чего-то приключилось в
> виндовым почтовиком, поэтому читаю через mailman, а пишу так.
>
> Всем: спасибо за совет про use_first_pass
>
> для iLya Bryzgalow:
>
> Ага, очень не хватает такого документа. Если разберусь, то постараюсь
> его написать и положить куда-нибудь на atmsk.ru. Не разберусь - не напишу
> :(
>
> для Nick S. Grechukh:
>
> passwd vasya не помогло :(
> Интересно, что при этом поле userPassword поменялось и добавилось поле
> shadowLastChange. Через su - vasya Вася заходит, через login - не знаю.
ну а проверить login? например зайдя по ssh рутом, сказать login и пробовать.
если получится - сравнивать pam.d/login и pam.d/ssh.
p.s. говорили что в мастере вечно глючный pam_ldap. под sisyphus все работает
вообще без проблем, заморочек и бубна. pam.d всех сервисов ссылается в
конечном счете на system-auth.
p.p.s. я могу вам сбросить свою конфигурацию pam.d от которой можно
оттолкнуться в ту сторону что я говорил в плане подмены system-auth.
--
-------------------------
WBR, Nick S. Grechukh
Refractory Trading House
network administrator
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 14:21 ` Nick S. Grechukh
@ 2004-04-19 14:35 ` Denis S. Filimonov
2004-04-19 15:48 ` Nick S. Grechukh
2004-04-20 4:51 ` Eugene Prokopiev
1 sibling, 1 reply; 15+ messages in thread
From: Denis S. Filimonov @ 2004-04-19 14:35 UTC (permalink / raw)
To: community
On Monday 19 April 2004 21:21, Nick S. Grechukh wrote:
> p.s. говорили что в мастере вечно глючный pam_ldap. под sisyphus все
> работает вообще без проблем, заморочек и бубна. pam.d всех сервисов
> ссылается в конечном счете на system-auth.
Наговариваете :-) и под ALM2.0 и под 2.2 pam_ldap+nss_ldap работают на
ура
--
Sincerely,
Denis.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 11:45 ` Eugene Prokopiev
@ 2004-04-19 14:55 ` Denis S. Filimonov
2004-04-20 4:50 ` Eugene Prokopiev
0 siblings, 1 reply; 15+ messages in thread
From: Denis S. Filimonov @ 2004-04-19 14:55 UTC (permalink / raw)
To: community
On Monday 19 April 2004 18:45, Eugene Prokopiev wrote:
> Denis S. Filimonov пишет:
> > On Monday 19 April 2004 14:08, Eugene Prokopiev wrote:
> >>system-auth-use_first_pass:
> >>
> >>#%PAM-1.0
> >>auth sufficient /lib/security/pam_ldap.so
> >
> > вот здесь пропущен "use_first_pass"
>
> да, только не здесь, а в system-auth. Уже воспользовался Вашим
> годичной давности советом из сизифовской рассылки :) Читал его и
> раньше, но дошел до того, что он мне пригодился, только сегодня :)
>
> >>2. su - могут использовать как ldap, так и
> >> /etc/passwd-пользователи, но для su - ldap-user пароль надо
> >> вводить один раз, а для su - passwd-user необходимо вводить пароль
> >> дважды:
> >
> > да, там тоже, видимо, надо подставить use_first_pass, чтобы оно не
> > спрашивало еще раз.
>
> нет, system-auth достаточно.
>
> Вот только самый главный вопрос остается открытым: а что я недокрутил
> в ssh?
мне кажется есть некоторая путаница между параметром "use_first_pass" и
и файлом system-auth-use_first_pass
Поэтому нужно начать сначала, а именно с файлов /etc/pam.d/su
и /etc/pam.d/sshd
Разница в том, что sshd использует pam_userpass и поэтому все
последующие модули аутентификации должны иметь параметр
"use_first_pass", и, следовательно, в файле system-auth-use_first_pass
все auth модули (которым пароль вообще нужен) должны иметь параметр
"use_first_pass". У Вас же в system-auth-use_first_pass стоит
auth sufficient /lib/security/pam_ldap.so
без "use_first_pass". Потому и не работает.
--
Sincerely,
Denis.
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 14:35 ` Denis S. Filimonov
@ 2004-04-19 15:48 ` Nick S. Grechukh
0 siblings, 0 replies; 15+ messages in thread
From: Nick S. Grechukh @ 2004-04-19 15:48 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 590 bytes --]
В сообщении от Понедельник 19 Апрель 2004 17:35 Denis S. Filimonov написал(a):
> On Monday 19 April 2004 21:21, Nick S. Grechukh wrote:
> > p.s. говорили что в мастере вечно глючный pam_ldap. под sisyphus все
> > работает вообще без проблем, заморочек и бубна. pam.d всех сервисов
> > ссылается в конечном счете на system-auth.
>
> Наговариваете :-) и под ALM2.0 и под 2.2 pam_ldap+nss_ldap работают на
> ура
_говорили_.
/me сам не пробовал, /me тогда еще маленький был для такого :-).
--
-------------------------
WBR, Nick S. Grechukh
Refractory Trading House
network administrator
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 14:55 ` Denis S. Filimonov
@ 2004-04-20 4:50 ` Eugene Prokopiev
0 siblings, 0 replies; 15+ messages in thread
From: Eugene Prokopiev @ 2004-04-20 4:50 UTC (permalink / raw)
To: community
>>Вот только самый главный вопрос остается открытым: а что я недокрутил
>>в ssh?
>
> мне кажется есть некоторая путаница между параметром "use_first_pass" и
> и файлом system-auth-use_first_pass
> Поэтому нужно начать сначала, а именно с файлов /etc/pam.d/su
> и /etc/pam.d/sshd
> Разница в том, что sshd использует pam_userpass и поэтому все
> последующие модули аутентификации должны иметь параметр
> "use_first_pass", и, следовательно, в файле system-auth-use_first_pass
> все auth модули (которым пароль вообще нужен) должны иметь параметр
> "use_first_pass". У Вас же в system-auth-use_first_pass стоит
> auth sufficient /lib/security/pam_ldap.so
> без "use_first_pass". Потому и не работает.
Понял, спасибо
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
2004-04-19 14:21 ` Nick S. Grechukh
2004-04-19 14:35 ` Denis S. Filimonov
@ 2004-04-20 4:51 ` Eugene Prokopiev
1 sibling, 0 replies; 15+ messages in thread
From: Eugene Prokopiev @ 2004-04-20 4:51 UTC (permalink / raw)
To: community
Nick S. Grechukh пишет:
> В сообщении от Понедельник 19 Апрель 2004 15:17 Eugene Prokopiev написал(a):
>
>>Прошу прощения за то, что не соблюдаю треды, но чего-то приключилось в
>>виндовым почтовиком, поэтому читаю через mailman, а пишу так.
>>
>>Всем: спасибо за совет про use_first_pass
>>
>>для iLya Bryzgalow:
>>
>>Ага, очень не хватает такого документа. Если разберусь, то постараюсь
>>его написать и положить куда-нибудь на atmsk.ru. Не разберусь - не напишу
>>:(
>>
>>для Nick S. Grechukh:
>>
>>passwd vasya не помогло :(
>>Интересно, что при этом поле userPassword поменялось и добавилось поле
>>shadowLastChange. Через su - vasya Вася заходит, через login - не знаю.
>
>
> ну а проверить login? например зайдя по ssh рутом, сказать login и пробовать.
> если получится - сравнивать pam.d/login и pam.d/ssh.
>
> p.s. говорили что в мастере вечно глючный pam_ldap. под sisyphus все работает
> вообще без проблем, заморочек и бубна. pam.d всех сервисов ссылается в
> конечном счете на system-auth.
> p.p.s. я могу вам сбросить свою конфигурацию pam.d от которой можно
> оттолкнуться в ту сторону что я говорил в плане подмены system-auth.
спасибо, уже не актуально
все получилось :)
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 15+ messages in thread
end of thread, other threads:[~2004-04-20 4:51 UTC | newest]
Thread overview: 15+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-04-19 7:08 [Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно? Eugene Prokopiev
2004-04-19 9:15 ` Nick S. Grechukh
2004-04-19 9:36 ` Eugene Prokopiev
2004-04-19 11:46 ` iLya Bryzgalow
2004-04-19 9:47 ` Eugene Prokopiev
2004-04-19 11:00 ` Nick S. Grechukh
2004-04-19 10:35 ` Denis S. Filimonov
2004-04-19 11:45 ` Eugene Prokopiev
2004-04-19 14:55 ` Denis S. Filimonov
2004-04-20 4:50 ` Eugene Prokopiev
2004-04-19 12:17 ` Eugene Prokopiev
2004-04-19 14:21 ` Nick S. Grechukh
2004-04-19 14:35 ` Denis S. Filimonov
2004-04-19 15:48 ` Nick S. Grechukh
2004-04-20 4:51 ` Eugene Prokopiev
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git