From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <denis0.ru@gmail.com>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-0.1 required=5.0 tests=BAYES_00, MIME_CHARSET_FARAWAY,
	SPF_PASS autolearn=ham version=3.2.5
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma;
	h=domainkey-signature:mime-version:received:in-reply-to:references
	:date:message-id:subject:from:to:content-type
	:content-transfer-encoding;
	bh=8AR7iixZiJHFt1GdmuzIF86Paqw+BMo8j+YwjcTsuQQ=;
	b=mBE9/3n18+p20+Om0d0N8u9AlF27VoLHYB/pqbKkyyOH83aJmLcdw4L8GG/CfzPlG7
	KpyJ0/pQfTqle1ooyDspMy2HimTOD/zwDwnQYM/HfV7oIRco0hPRXV9vNg//0U9uZXqV
	+3fv80XLEZoRZFQBBRvhG54l4lalLGzqjg2Yo=
DomainKey-Signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma;
	h=mime-version:in-reply-to:references:date:message-id:subject:from:to
	:content-type:content-transfer-encoding;
	b=LRXRBkfirdIfQ17eK5qrVEvT5fttPQsUEeXtHLGUD4DT6A8bxvfWQTyNcoCPkUSKnq
	fLz4qrbrF+nygEUqGoFnmAQ8YaR+cjSN4vLlqkRELE1IB6gvSN0H1OKmljS3lVIYcv7w
	zWUW/gsPQxQaPnNVSXi+/r1I+Ay5DFQ2HEq78=
MIME-Version: 1.0
In-Reply-To: <20090622164824.GA7698@wo.int.altlinux.org>
References: <d77783290906182346n480d72c2s739ff140ff37884a@mail.gmail.com>
	<20090619233836.GA15680@wo.int.altlinux.org>
	<d77783290906212341n3ab5be5fna1e6030eb00aac59@mail.gmail.com>
	<20090622164824.GA7698@wo.int.altlinux.org>
Date: Wed, 24 Jun 2009 13:31:29 +0500
Message-ID: <d77783290906240131p13b3b6a5ha2109bb141aa6633@mail.gmail.com>
From: =?KOI8-R?B?5MXOydMg/sXSzs/Tz9c=?= <denis0.ru@gmail.com>
To: ALT Linux Community general discussions <community@lists.altlinux.org>
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
Subject: Re: [Comm] =?koi8-r?b?InBhbV9tb3VudCBwYXNzd29yZDoiIC0gzsXBy8vV0sHU?=
	=?koi8-r?b?zsXO2MvPIMvByy3Uzw==?=
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Community general discussions
	<community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 24 Jun 2009 08:31:49 -0000
Archived-At: <http://lore.altlinux.org/community/d77783290906240131p13b3b6a5ha2109bb141aa6633@mail.gmail.com/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

22 июня 2009 г. 21:48 пользователь Dmitry V. Levin (ldv@altlinux.org) написал:
> Тут написано, что если вы добавляете что-то в стек после sufficient, то
> есть ненулевая вероятность того, что это что-то не будет выполнено.  Это
> утерждение верно, однако из него не следует, что необходимо что-то
> добавлять перед sufficient.

Именно это и следует, если верить мануалу:

>>        If you use pam_ldap, pam_winbind, or any other authentication
>> services that make use  of  PAM's
>>        sufficient keyword, model your configuration on the following order:

Перевод:
Если вы используете pam_ldap, pam_winbind или любой другой сервис
аутентификации, который использует опцию sufficient, ваш конфиг будет
выглядеть следующим образом:

>>               ・・・
>>               auth    required    pam_mount.so <-- Поставили в самом начале!!! До sufficient.
>>               auth    sufficient  pam_ldap.so use_first_pass
>>               auth    required    pam_unix.so use_first_pass
>>               ・・・

Т.е., получается, что pam_mount.so стоит первым, sufficient
pam_ldap.so - вторым и уже после них pam_unix.so (а в нашем случае
будет pam_tcb).

>> А вот если попытаться без затей
>> поставить pam_mount после остальных модулей, то пароль запрашивается
>> два раза. Причем даже при перезапуске демонов (веселуха service
>> network restart - введи пароль...). И это не решается использованием
>> опции use_first_pass.
>
> Вы хотите сказать, что pam_mount не поддерживает use_first_pass?

Именно это я и хочу сказать. Вряд ли была бы необходимость
использовать "[success=2 default=ignore]", если бы это было не так.

>> >> auth     [success=2 default=ignore]       pam_tcb.so shadow fork prefix=$2a$ count=8 nullok
>> >> auth     requisite pam_succeed_if.so uid >= 500 quiet
>> >> auth     [success=1 default=ignore]       pam_ldap.so use_first_pass
>> >> auth     optional       pam_mount.so
>> >
>> > Вы неправильно списали с pam_mount(8).  Чтобы понять, в чём ошибка,
>> > придётся прочитать и понять pam.conf(5).
>>
>> Ошибки нет. Этот вариант работает. Мой вопрос касается скорее
>> эстетики, чем функциональности...
>
> В этом варианте есть семантическая ошибка.  Попробуйте
> - залогиниться ldap-пользователем;
> - залогиниться несуществующим пользователем.

Попробовал. Никаких сюрпризов. Все работает. Может конкретно пояснить,
в каком месте "семантическая ошибка"?

> Дело в том, что формат pam.conf(5) желательно изучить для того, чтобы
> понимать, как работает та или иная конструкция.

Давайте не будем пальцы гнуть на ровном месте ;)
Повторяю, оба варианта рабочие. Настройки сделаны по аналогии с
мануалом (который я и процитировал). И если вы что-то заметили, не
соотв. другому ману, то поделитесь пожалуйста конкретикой, а не
посылайте искать черную кошку в темной комнате...

-- 
С уважением,
Черносов Денис