ALT Linux Community general discussions
 help / color / mirror / Atom feed
From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Linux Community general discussions <community@lists.altlinux.org>
Subject: Re: [Comm] "pam_mount password:" - неаккуратненько как-то
Date: Wed, 24 Jun 2009 15:12:49 +0400
Message-ID: <20090624111249.GB26122@wo.int.altlinux.org> (raw)
In-Reply-To: <d77783290906240131p13b3b6a5ha2109bb141aa6633@mail.gmail.com>

[-- Attachment #1: Type: text/plain, Size: 3312 bytes --]

On Wed, Jun 24, 2009 at 01:31:29PM +0500, Денис Черносов wrote:
> 22 июня 2009 г. 21:48 пользователь Dmitry V. Levin (ldv@altlinux.org) написал:
> > Тут написано, что если вы добавляете что-то в стек после sufficient, то
> > есть ненулевая вероятность того, что это что-то не будет выполнено.  Это
> > утерждение верно, однако из него не следует, что необходимо что-то
> > добавлять перед sufficient.
> 
> Именно это и следует, если верить мануалу:
> 
> >>        If you use pam_ldap, pam_winbind, or any other authentication
> >> services that make use  of  PAM's
> >>        sufficient keyword, model your configuration on the following order:
> 
> Перевод:
> Если вы используете pam_ldap, pam_winbind или любой другой сервис
> аутентификации, который использует опцию sufficient, ваш конфиг будет
> выглядеть следующим образом:
> 
> >>               ・・・
> >>               auth    required    pam_mount.so <-- Поставили в самом начале!!! До sufficient.
> >>               auth    sufficient  pam_ldap.so use_first_pass
> >>               auth    required    pam_unix.so use_first_pass
> >>               ・・・
> 
> Т.е., получается, что pam_mount.so стоит первым, sufficient
> pam_ldap.so - вторым и уже после них pam_unix.so (а в нашем случае
> будет pam_tcb).

Какой смысл выполнять pam_mount.so до аутентификации (pam_tcb.so/pam_ldap.so)?
Зачем вообще pam_mount.so помещать в стек аутентификации?

> >> >> auth     [success=2 default=ignore]       pam_tcb.so shadow fork prefix=$2a$ count=8 nullok
> >> >> auth     requisite pam_succeed_if.so uid >= 500 quiet
> >> >> auth     [success=1 default=ignore]       pam_ldap.so use_first_pass
> >> >> auth     optional       pam_mount.so
> >> >
> >> > Вы неправильно списали с pam_mount(8).  Чтобы понять, в чём ошибка,
> >> > придётся прочитать и понять pam.conf(5).
> >>
> >> Ошибки нет. Этот вариант работает. Мой вопрос касается скорее
> >> эстетики, чем функциональности...
> >
> > В этом варианте есть семантическая ошибка.  Попробуйте
> > - залогиниться ldap-пользователем;
> > - залогиниться несуществующим пользователем.
> 
> Попробовал. Никаких сюрпризов. Все работает. Может конкретно пояснить,
> в каком месте "семантическая ошибка"?

Например, если pam_ldap.so в стеке auth вернул success, то
какой модуль в стеке auth будет выполнен следующим?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

  reply	other threads:[~2009-06-24 11:12 UTC|newest]

Thread overview: 16+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2009-06-19  6:46 Денис Черносов
2009-06-19 23:38 ` Dmitry V. Levin
2009-06-22  6:41   ` Денис Черносов
2009-06-22 16:48     ` Dmitry V. Levin
2009-06-24  8:31       ` Денис Черносов
2009-06-24 11:12         ` Dmitry V. Levin [this message]
2009-06-25  6:27           ` Денис Черносов
2009-06-25 21:19             ` Dmitry V. Levin
2009-06-25 23:23               ` Dmitry V. Levin
2009-06-26  7:41                 ` Денис Черносов
2009-06-26 19:10                   ` Dmitry V. Levin
2009-06-26 21:48                   ` [Comm] pam-config-1.5.0-alt1 Dmitry V. Levin
2009-06-26  7:21               ` [Comm] "pam_mount password:" - неаккуратненько как-то Денис Черносов
2009-06-26 19:05                 ` Dmitry V. Levin
2009-06-22 10:06 ` Andrew V. Stepanov
2009-06-24  9:02   ` Денис Черносов

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20090624111249.GB26122@wo.int.altlinux.org \
    --to=ldv@altlinux.org \
    --cc=community@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git