On Mon, Jun 22, 2009 at 11:41:36AM +0500, Денис Черносов wrote: > 20 июня 2009 г. 4:38 пользователь Dmitry V. Levin (ldv@altlinux.org) написал: > > On Fri, Jun 19, 2009 at 11:46:36AM +0500, Денис Черносов wrote: > >> День добрый всем! > >> > >> auth optional pam_mount.so > >> auth sufficient pam_tcb.so shadow fork prefix=$2a$ count=8 > >> nullok use_first_pass > >> auth requisite pam_succeed_if.so uid >= 500 quiet > >> auth required pam_ldap.so use_first_pass > >> > >> В пятом бранче pam_mount, будучи поставленный первым в auth (а > >> по-другому его заставить работать у меня не получилось), меняет строку > >> запроса пароля и вместо просто "password:" пишет "pam_mount > >> password:". > > > > Не надо помещать pam_mount.so в стеке аутентификации до pam_tcb.so, > > это не правильно по сути. > > Согласен, мне это тоже кажется "неправильным по сути". Но в примере > явно указано, что при аутентификации через ldap или winbind нужно > модуль pam_mount ставить впереди... > ---------------------- > #man pam_mount > .... > When "sufficient" is used in the second column, you must make > sure that pam_mount is added > before this entry. Otherwise pam_mount will not get executed > should a previous PAM module suc‐ > ceed. Also be aware of the "include" statements. These make PAM > look into the specified file. > If there is a "sufficient" statement, then the pam_mount > entry must either be in the included > file before the "sufficient" statement or before the "include" statement. > > If you use pam_ldap, pam_winbind, or any other authentication > services that make use of PAM's > sufficient keyword, model your configuration on the following order: > > ・・・ > account sufficient pam_ldap.so > auth required pam_mount.so > auth sufficient pam_ldap.so use_first_pass > auth required pam_unix.so use_first_pass > session optional pam_mount.so > ・・・ > > This allows for: > > 1. pam_mount, as the first "auth" module, will prompt for a > password and export it to the PAM > system. > > 2. pam_ldap will use the password from the PAM system to try > and authenticate the user. If > this succedes, the user will be authenticated. If it > fails, pam_unix will try to authenti‐ > cate. > .... > ------------------------------ Тут написано, что если вы добавляете что-то в стек после sufficient, то есть ненулевая вероятность того, что это что-то не будет выполнено. Это утерждение верно, однако из него не следует, что необходимо что-то добавлять перед sufficient. > А второй вариант (см. ниже) указывается именно для таких как мы с вами :) > ----------------------------- > ... > Alternatively, the following is possible (thanks to Andrew > Morgan for the hint!): > > auth [success=2 default=ignore] pam_unix2.so > auth [success=1 default=ignore] pam_ldap.so use_first_pass > auth requisite pam_deny.so > auth optional pam_mount.so > > It may seem odd, but the first three lines will make it so > that at least one of pam_unix2 or > pam_ldap has to succeed. As you can see, pam_mount will be run > after successful authentifica‐ > tion with these subsystems. > ... > ----------------------------- > > Причем, оба этих варианта - рабочие. Да, конечно. > А вот если попытаться без затей > поставить pam_mount после остальных модулей, то пароль запрашивается > два раза. Причем даже при перезапуске демонов (веселуха service > network restart - введи пароль...). И это не решается использованием > опции use_first_pass. Вы хотите сказать, что pam_mount не поддерживает use_first_pass? > Единственное, что я не пробовал - это ставить строчку с account > впереди строчек с auth. Потому что, насколько я понимаю, от этого > ничего не изменится... Конечно. > >> auth [success=2 default=ignore] pam_tcb.so shadow fork prefix=$2a$ count=8 nullok > >> auth requisite pam_succeed_if.so uid >= 500 quiet > >> auth [success=1 default=ignore] pam_ldap.so use_first_pass > >> auth optional pam_mount.so > > > > Вы неправильно списали с pam_mount(8). Чтобы понять, в чём ошибка, > > придётся прочитать и понять pam.conf(5). > > Ошибки нет. Этот вариант работает. Мой вопрос касается скорее > эстетики, чем функциональности... В этом варианте есть семантическая ошибка. Попробуйте - залогиниться ldap-пользователем; - залогиниться несуществующим пользователем. Дело в том, что формат pam.conf(5) желательно изучить для того, чтобы понимать, как работает та или иная конструкция. -- ldv