From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <40837B03.4040403@rmts.donpac.ru> Date: Mon, 19 Apr 2004 11:08:51 +0400 From: Eugene Prokopiev User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; ru-RU; rv:1.5b) Gecko/20031007 Thunderbird/0.3a X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: community@altlinux.ru Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: [Comm] =?koi8-r?b?4dfUz9LJ2sHDydEgydogL2V0Yy9wYXNzd2QgySBsZGFw?= =?koi8-r?b?IM/Ezs/X0sXNxc7Ozzogy8HLINDSwdfJzNjOzz8=?= X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.4 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 19 Apr 2004 07:06:43 -0000 Archived-At: List-Archive: List-Post: Здравствуйте! Как сделать так, чтобы в системе могли авторизоваться пользователи, прописанные как в /etc/passwd, так и в ldap? On Saturday 17 April 2004 12:58 Denis S. Filimonov поделился своими рабочими конфигами: system-auth: #%PAM-1.0 auth required /lib/security/pam_ldap.so #auth required /lib/security/pam_tcb.so shadow fork nullok account required /lib/security/pam_access.so account required /lib/security/pam_ldap.so #account required /lib/security/pam_tcb.so shadow fork password required /lib/security/pam_ldap.so #password required /lib/security/pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3 #password required /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb #session required /lib/security/pam_tcb.so session required /lib/security/pam_limits.so system-auth-use_first_pass: #%PAM-1.0 auth required /lib/security/pam_ldap.so use_first_pass #auth required /lib/security/pam_tcb.so shadow fork nullok use_first_pass password required /lib/security/pam_ldap.so #password required /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb Насколько я понял, в таком варианте используется только ldap. Мне же нужно сохранить и то, что было, добавив пользователей из ldap. Написал следующее: system-auth: #%PAM-1.0 auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_tcb.so shadow fork prefix=$2a$ count=8 nullok account sufficient /lib/security/pam_ldap.so account required /lib/security/pam_tcb.so shadow fork password required /lib/security/pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3 password required /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb session required /lib/security/pam_tcb.so session required /lib/security/pam_limits.so system-auth-use_first_pass: #%PAM-1.0 auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass password required /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb Т.е. просто для методов авторизации auth и account добавил sufficient /lib/security/pam_ldap.so После этого получилось следующее: 1. По ssh все равно пускают только пользователей из /etc/passwd, пользователей из ldap посылают подальше со следующими словами: Apr 19 10:51:09 john-ws pam_tcb[2060]: sshd: Authentication failed for vasya from (uid=0) Apr 19 10:51:11 john-ws sshd[2061]: Failed password for vasya from 192.168.46.2 port 4631 2. su - могут использовать как ldap, так и /etc/passwd-пользователи, но для su - ldap-user пароль надо вводить один раз, а для su - passwd-user необходимо вводить пароль дважды: [john@john-ws john]$ su - john Password: Password: [john@john-ws john]$ su - vasya Password: -bash-2.05b$ sshd выглядит так: #%PAM-1.0 auth required /lib/security/pam_userpass.so auth required /lib/security/pam_stack.so service=system-auth-use_first_pass auth required /lib/security/pam_nologin.so account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth session required /lib/security/pam_stack.so service=system-auth su выглядит так: #%PAM-1.0 auth sufficient /lib/security/pam_rootok.so # Uncomment the following line to implicitly trust users in the "wheel" group. #auth sufficient /lib/security/pam_wheel.so debug use_uid group=wheel trust # Uncomment the following line to require a user to be in the "wheel" group. #auth required /lib/security/pam_wheel.so debug use_uid group=wheel # Uncomment the following line to implicitly trust users with same user id. #auth sufficient /lib/security/pam_sameuid.so debug auth required /lib/security/pam_stack.so service=system-auth account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_deny.so session required /lib/security/pam_stack.so service=system-auth session optional /lib/security/pam_xauth.so я их не правил. Что я сделал неправильно и как сделать правильно? -- С уважением, Прокопьев Евгений