From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <bsw71@mail.ru>
Message-ID: <3F1D3048.1080808@mail.ru>
Date: Tue, 22 Jul 2003 18:38:32 +0600
From: BSW <bsw71@mail.ru>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.4) Gecko/20030627
X-Accept-Language: ru, en-us, en
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] LDAP Samba PAM
References: <Pine.LNX.4.55L.0307211748320.24030@gw.lincomp.ru>	<3F1CAA37.5030209@mail.ru>	<Pine.LNX.4.55L.0307221039170.4555@gw.lincomp.ru>	<3F1CEF67.5010405@mail.ru>	<Pine.LNX.4.55L.0307221211420.4555@gw.lincomp.ru>	<3F1D16C8.30803@mail.ru>
	<Pine.LNX.4.55L.0307221504180.8715@gw.lincomp.ru>
In-Reply-To: <Pine.LNX.4.55L.0307221504180.8715@gw.lincomp.ru>
X-Enigmail-Version: 0.76.1.0
X-Enigmail-Supports: pgp-inline, pgp-mime
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: community@altlinux.ru
List-Id: <community.altlinux.ru>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Tue, 22 Jul 2003 12:38:36 -0000
Archived-At: <http://lore.altlinux.org/community/3F1D3048.1080808@mail.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Dmitriy Gnidchenko пишет:
> Тут непонятно, если нет факта его существования, то о каких
> полномочиях идет речь ?
Нет юзера - нет проблемы :-)
Вот потому-то юзер и должен быть прописан в системе. PAM - только пароли.

> Я тогда вообще зачем нужен PAM_LDAP
> 
> (насколько я уверен он и должен был задействован в
> /etc/pam.d/*)
> 
> если можно использовать nsswitch
Опять мухи и котлеты:
Начнет с начала: все по дефолту. Юзера в /etc/passwd, группы - 
/etc/group, пароли - /etc/shadow.

Теперь прикрутим pam_ldap: юзера и группы остались на месте, но пароли 
проверяются в ldap-е (модулем pam_ldap).

Вернем назад настройки PAM, и напишем в nsswitch.conf:
passwd: ldap
shadow: ldap
group:  ldap
Теперь система ничего не знает о /etc/passwd, shadow, group. Все лежит в 
LDAP (см. libnss_ldap.so). Однако pam_ldap не нужен, его работу делает 
связка pam_tcb (или pam_unix, или кто там по дефолту) и libnss_ldap.

Оставим nsswitch.conf как есть (с ldap-ом), и прикрутим, например, 
pam_nologin. Юзера сотрут себе пальцы вбивая пароли, но... NO PASSARAN! 
Хотя все пароли правильные :-)
(во время опытов не забывай держать активной хотя бы одну рутовую 
сессию, иначе и сам не пройдешь...)

> то есть данные о пользователе ни как не преплетаются при
> использовании PAM они как были отдельно так и остались.
Именно так. В свое время я чуть не повесился пытаясь заставить Самбу на 
FreeBSD брать юзеров из PAM. :-)

> то есть в любом случае надо еще задействовать и nsswitch
Ммм... Он задействован в любом случае. Важно чтобы его содержимое 
соответствовало реальному размещению базы юзеров, а будет это 
/etc/passwd или ldap - не так уж и важно.

Надеюсь, я достаточно непонятно излагаю? :-)