From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 22 Jul 2003 17:31:37 +0400 (MSD) From: Dmitriy Gnidchenko X-X-Sender: savithur@gw.lincomp.ru To: community@altlinux.ru Subject: Re: [Comm] LDAP Samba PAM In-Reply-To: <3F1D3048.1080808@mail.ru> Message-ID: References: <3F1CAA37.5030209@mail.ru> <3F1CEF67.5010405@mail.ru> <3F1D16C8.30803@mail.ru> <3F1D3048.1080808@mail.ru> MIME-Version: 1.0 Content-Type: TEXT/PLAIN; charset=koi8-r Content-Transfer-Encoding: 8BIT X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.2 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 22 Jul 2003 13:26:08 -0000 Archived-At: List-Archive: List-Post: On Tue, 22 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > Тут непонятно, если нет факта его существования, то о каких > > полномочиях идет речь ? > Нет юзера - нет проблемы :-) :))) > Вот потому-то юзер и должен быть прописан в системе. PAM - > только пароли. > > если можно использовать nsswitch > Опять мухи и котлеты: :))) > Начнет с начала: все по дефолту. Юзера в /etc/passwd, группы - > /etc/group, пароли - /etc/shadow. > > Теперь прикрутим pam_ldap: юзера и группы остались на месте, > но пароли > проверяются в ldap-е (модулем pam_ldap). > Вернем назад настройки PAM, и напишем в nsswitch.conf: > passwd: ldap > shadow: ldap > group: ldap > Теперь система ничего не знает о /etc/passwd, shadow, group. > Все лежит в > LDAP (см. libnss_ldap.so). Однако pam_ldap не нужен, его > работу делает > связка pam_tcb (или pam_unix, или кто там по дефолту) и > libnss_ldap. А... у меня небыло установлено модуля libnss_ldap, из-за этого тоже ступор был. Сейчас поставил и прикрутил в nsswitch passwd: files ldap nisplus nis Не знаю группы задействовать или нет, но пока изменил только эту запись. Теперь уже ругани по поводу smbpasswd -a user нет. так как узер имеется в ldap базе. и соответственно добавляет узера к себе в базу. 10х с этим разобрались. Теперь по поводу /etc/samba/smbpasswd Самба при любом раскладе проверяет пароль пользователя в smbpasswd Теперь исходя из PAM она должна его запрашивать из LDAP ? так как модуль уже там прописан. > Оставим nsswitch.conf как есть (с ldap-ом), и прикрутим, > например, > pam_nologin. Юзера сотрут себе пальцы вбивая пароли, но... NO > PASSARAN! > Хотя все пароли правильные :-) :о) > (во время опытов не забывай держать активной хотя бы одну > рутовую > сессию, иначе и сам не пройдешь...) Так и делаю. Одну консоль подальше засунул. > > то есть данные о пользователе ни как не преплетаются при > > использовании PAM они как были отдельно так и остались. > Именно так. В свое время я чуть не повесился пытаясь заставить > Самбу на > FreeBSD брать юзеров из PAM. :-) Приблизительно у меня получаеся сейчас также :)) > > то есть в любом случае надо еще задействовать и nsswitch > Ммм... Он задействован в любом случае. Важно чтобы его > содержимое > соответствовало реальному размещению базы юзеров, а будет это > /etc/passwd или ldap - не так уж и важно. > Надеюсь, я достаточно непонятно излагаю? :-) Котлеты и мухи в разных кастрюлях :)