From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 22 Jul 2003 15:39:22 +0400 (MSD) From: Dmitriy Gnidchenko X-X-Sender: savithur@gw.lincomp.ru To: community@altlinux.ru Subject: Re: [Comm] LDAP Samba PAM In-Reply-To: <3F1D16C8.30803@mail.ru> Message-ID: References: <3F1CAA37.5030209@mail.ru> <3F1CEF67.5010405@mail.ru> <3F1D16C8.30803@mail.ru> MIME-Version: 1.0 Content-Type: TEXT/PLAIN; charset=koi8-r Content-Transfer-Encoding: 8BIT X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.2 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 22 Jul 2003 11:33:55 -0000 Archived-At: List-Archive: List-Post: On Tue, 22 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > Так тогда какую функцию несет pam_pdap ? > Давай отделять мух от котлет: > PAM (Pluggable Authentication Modules) - проверка полномочий > пользователя (man pam за подробностями), но не факта его > существования. Тут непонятно, если нет факта его существования, то о каких полномочиях идет речь ? > запрещает одному пользоваться другим. Например, Линуховый > pam_tcb знает > (пусть и косвенно) о nsswitch.conf, а вот во FreeBSD 4.x > понятие об > nsswitch.conf отсутствует, что не мешает использовать PAM. > У меня в /etc/pam.d/* ldap не упомянут ни разу, но я его > успешно > использую. Ни что и ни кто не запрещает мне хранить юзеров в > LDAP, а их > пароли - в NT-домене, или даже на пластике... Я тогда вообще зачем нужен PAM_LDAP (насколько я уверен он и должен был задействован в /etc/pam.d/*) если можно использовать nsswitch > > то есть сервис (Samba, POP3 и тд) использует для этих целей > > библиотеки PAM, а PAM в зависимости от выбранного модуля > ищет > > авторизация в системной базе (passwd tcb shadow) или прямо > > минуя эту цепочку (pam_radius, pam_ldap) может обратися к > Radius > > или к тойже LDAP > > > > в то же время при стандарном использовании PAM как это идет > в > > дистрибутиве я могу исправить nsswitch.conf так чтобы все > запросы > > для авторизации будут уже не локальными, а на некий сервер > как > > это делает NIS. > Примерно так... > > Приложение запрашивает у системы данные о юзере, система > смотрит в > nsswitch, и лезет в ... (куда написано). > Затем приложение отдает системе > пароль для проверки, система смотрит в PAM, и отдает пароль на > растерзание указанному модулю. то есть данные о пользователе ни как не преплетаются при использовании PAM они как были отдельно так и остались. > Модуль может (но не обязан) > посмотреть в > nsswitch, и взять пароль из ..., но может и не смотреть, а > сразу пойти в > ему одному известное место. то есть в любом случае надо еще задействовать и nsswitch > Надеюсь, я достаточно непонятно излагаю? :-) Да уже теперь понятней немного.