From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <bsw71@mail.ru>
Message-ID: <3F1D16C8.30803@mail.ru>
Date: Tue, 22 Jul 2003 16:49:44 +0600
From: BSW <bsw71@mail.ru>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.4) Gecko/20030627
X-Accept-Language: ru, en-us, en
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] LDAP Samba PAM
References: <Pine.LNX.4.55L.0307211748320.24030@gw.lincomp.ru>	<3F1CAA37.5030209@mail.ru>	<Pine.LNX.4.55L.0307221039170.4555@gw.lincomp.ru>	<3F1CEF67.5010405@mail.ru>
	<Pine.LNX.4.55L.0307221211420.4555@gw.lincomp.ru>
In-Reply-To: <Pine.LNX.4.55L.0307221211420.4555@gw.lincomp.ru>
X-Enigmail-Version: 0.76.1.0
X-Enigmail-Supports: pgp-inline, pgp-mime
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: community@altlinux.ru
List-Id: <community.altlinux.ru>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Tue, 22 Jul 2003 10:49:57 -0000
Archived-At: <http://lore.altlinux.org/community/3F1D16C8.30803@mail.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Dmitriy Gnidchenko пишет:
> Так тогда какую функцию несет pam_pdap ?
Давай отделять мух от котлет:
PAM (Pluggable Authentication Modules) - проверка полномочий 
пользователя (man pam за подробностями), но не факта его существования.

> я предпологал ранее, что nsswitch.conf ипсользуется уже самой
> системой для поиска способа аутентификации пользователя.
NSS (Name Service Switch; man nsswitch.conf) позволяет выбрать базу, в 
которой хранится информация о юзерах. К PAM не имеет никакого отношения, 
это два совершенно разных и независимых механизма, что, тем не менее, не 
запрещает одному пользоваться другим. Например, Линуховый pam_tcb знает 
(пусть и косвенно) о nsswitch.conf, а вот во FreeBSD 4.x понятие об 
nsswitch.conf отсутствует, что не мешает использовать PAM.
У меня в /etc/pam.d/* ldap не упомянут ни разу, но я его успешно 
использую. Ни что и ни кто не запрещает мне хранить юзеров в LDAP, а их 
пароли - в NT-домене, или даже на пластике...

> 
> то есть сервис (Samba, POP3 и тд) использует для этих целей
> библиотеки PAM, а PAM в зависимости от выбранного модуля ищет
> авторизация в системной базе (passwd tcb shadow) или прямо
> минуя эту цепочку (pam_radius, pam_ldap) может обратися к Radius
> или к тойже LDAP
> 
> в то же время при стандарном использовании PAM как это идет в
> дистрибутиве я могу исправить nsswitch.conf так чтобы все запросы
> для авторизации будут уже не локальными, а на некий сервер как
> это делает NIS.
Примерно так...

Приложение запрашивает у системы данные о юзере, система смотрит в 
nsswitch, и лезет в ... (куда написано). Затем приложение отдает системе 
пароль для проверки, система смотрит в PAM, и отдает пароль на 
растерзание указанному модулю. Модуль может (но не обязан) посмотреть в 
nsswitch, и взять пароль из ..., но может и не смотреть, а сразу пойти в 
ему одному известное место.

Надеюсь, я достаточно непонятно излагаю? :-)