From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <savithur@avatar.spb.ru>
Date: Tue, 22 Jul 2003 15:39:22 +0400 (MSD)
From: Dmitriy Gnidchenko <savithur@avatar.spb.ru>
X-X-Sender: savithur@gw.lincomp.ru
To: community@altlinux.ru
Subject: Re: [Comm] LDAP Samba PAM
In-Reply-To: <3F1D16C8.30803@mail.ru>
Message-ID: <Pine.LNX.4.55L.0307221504180.8715@gw.lincomp.ru>
References: <Pine.LNX.4.55L.0307211748320.24030@gw.lincomp.ru>
	<3F1CAA37.5030209@mail.ru>
	<Pine.LNX.4.55L.0307221039170.4555@gw.lincomp.ru>
	<3F1CEF67.5010405@mail.ru>
	<Pine.LNX.4.55L.0307221211420.4555@gw.lincomp.ru>
	<3F1D16C8.30803@mail.ru>
MIME-Version: 1.0
Content-Type: TEXT/PLAIN; charset=koi8-r
Content-Transfer-Encoding: 8BIT
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: community@altlinux.ru
List-Id: <community.altlinux.ru>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Tue, 22 Jul 2003 11:33:55 -0000
Archived-At: <http://lore.altlinux.org/community/Pine.LNX.4.55L.0307221504180.8715@gw.lincomp.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Tue, 22 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
> > Так тогда какую функцию несет pam_pdap ?

> Давай отделять мух от котлет:
> PAM (Pluggable Authentication Modules) - проверка полномочий
> пользователя (man pam за подробностями), но не факта его
> существования.

Тут непонятно, если нет факта его существования, то о каких
полномочиях идет речь ?


> запрещает одному пользоваться другим. Например, Линуховый
> pam_tcb знает
> (пусть и косвенно) о nsswitch.conf, а вот во FreeBSD 4.x
> понятие об
> nsswitch.conf отсутствует, что не мешает использовать PAM.

> У меня в /etc/pam.d/* ldap не упомянут ни разу, но я его
> успешно
> использую. Ни что и ни кто не запрещает мне хранить юзеров в
> LDAP, а их
> пароли - в NT-домене, или даже на пластике...

Я тогда вообще зачем нужен PAM_LDAP

(насколько я уверен он и должен был задействован в
/etc/pam.d/*)

если можно использовать nsswitch

> > то есть сервис (Samba, POP3 и тд) использует для этих целей
> > библиотеки PAM, а PAM в зависимости от выбранного модуля
> ищет
> > авторизация в системной базе (passwd tcb shadow) или прямо
> > минуя эту цепочку (pam_radius, pam_ldap) может обратися к
> Radius
> > или к тойже LDAP
> >
> > в то же время при стандарном использовании PAM как это идет
> в
> > дистрибутиве я могу исправить nsswitch.conf так чтобы все
> запросы
> > для авторизации будут уже не локальными, а на некий сервер
> как
> > это делает NIS.
> Примерно так...
>
> Приложение запрашивает у системы данные о юзере, система
> смотрит в
> nsswitch, и лезет в ... (куда написано).
> Затем приложение отдает системе
> пароль для проверки, система смотрит в PAM, и отдает пароль на
> растерзание указанному модулю.

то есть данные о пользователе ни как не преплетаются при
использовании PAM они как были отдельно так и остались.


> Модуль может (но не обязан)
> посмотреть в
> nsswitch, и взять пароль из ..., но может и не смотреть, а
> сразу пойти в
> ему одному известное место.

то есть в любом случае надо еще задействовать и nsswitch

> Надеюсь, я достаточно непонятно излагаю? :-)

Да уже теперь понятней немного.