From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-0.1 required=5.0 tests=BAYES_00, MIME_CHARSET_FARAWAY, SPF_PASS autolearn=ham version=3.2.5 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=8AR7iixZiJHFt1GdmuzIF86Paqw+BMo8j+YwjcTsuQQ=; b=mBE9/3n18+p20+Om0d0N8u9AlF27VoLHYB/pqbKkyyOH83aJmLcdw4L8GG/CfzPlG7 KpyJ0/pQfTqle1ooyDspMy2HimTOD/zwDwnQYM/HfV7oIRco0hPRXV9vNg//0U9uZXqV +3fv80XLEZoRZFQBBRvhG54l4lalLGzqjg2Yo= DomainKey-Signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=LRXRBkfirdIfQ17eK5qrVEvT5fttPQsUEeXtHLGUD4DT6A8bxvfWQTyNcoCPkUSKnq fLz4qrbrF+nygEUqGoFnmAQ8YaR+cjSN4vLlqkRELE1IB6gvSN0H1OKmljS3lVIYcv7w zWUW/gsPQxQaPnNVSXi+/r1I+Ay5DFQ2HEq78= MIME-Version: 1.0 In-Reply-To: <20090622164824.GA7698@wo.int.altlinux.org> References: <20090619233836.GA15680@wo.int.altlinux.org> <20090622164824.GA7698@wo.int.altlinux.org> Date: Wed, 24 Jun 2009 13:31:29 +0500 Message-ID: From: =?KOI8-R?B?5MXOydMg/sXSzs/Tz9c=?= To: ALT Linux Community general discussions Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit Subject: Re: [Comm] =?koi8-r?b?InBhbV9tb3VudCBwYXNzd29yZDoiIC0gzsXBy8vV0sHU?= =?koi8-r?b?zsXO2MvPIMvByy3Uzw==?= X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Community general discussions List-Id: ALT Linux Community general discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 24 Jun 2009 08:31:49 -0000 Archived-At: List-Archive: List-Post: 22 июня 2009 г. 21:48 пользователь Dmitry V. Levin (ldv@altlinux.org) написал: > Тут написано, что если вы добавляете что-то в стек после sufficient, то > есть ненулевая вероятность того, что это что-то не будет выполнено. Это > утерждение верно, однако из него не следует, что необходимо что-то > добавлять перед sufficient. Именно это и следует, если верить мануалу: >> If you use pam_ldap, pam_winbind, or any other authentication >> services that make use of PAM's >> sufficient keyword, model your configuration on the following order: Перевод: Если вы используете pam_ldap, pam_winbind или любой другой сервис аутентификации, который использует опцию sufficient, ваш конфиг будет выглядеть следующим образом: >> ・・・ >> auth required pam_mount.so <-- Поставили в самом начале!!! До sufficient. >> auth sufficient pam_ldap.so use_first_pass >> auth required pam_unix.so use_first_pass >> ・・・ Т.е., получается, что pam_mount.so стоит первым, sufficient pam_ldap.so - вторым и уже после них pam_unix.so (а в нашем случае будет pam_tcb). >> А вот если попытаться без затей >> поставить pam_mount после остальных модулей, то пароль запрашивается >> два раза. Причем даже при перезапуске демонов (веселуха service >> network restart - введи пароль...). И это не решается использованием >> опции use_first_pass. > > Вы хотите сказать, что pam_mount не поддерживает use_first_pass? Именно это я и хочу сказать. Вряд ли была бы необходимость использовать "[success=2 default=ignore]", если бы это было не так. >> >> auth [success=2 default=ignore] pam_tcb.so shadow fork prefix=$2a$ count=8 nullok >> >> auth requisite pam_succeed_if.so uid >= 500 quiet >> >> auth [success=1 default=ignore] pam_ldap.so use_first_pass >> >> auth optional pam_mount.so >> > >> > Вы неправильно списали с pam_mount(8). Чтобы понять, в чём ошибка, >> > придётся прочитать и понять pam.conf(5). >> >> Ошибки нет. Этот вариант работает. Мой вопрос касается скорее >> эстетики, чем функциональности... > > В этом варианте есть семантическая ошибка. Попробуйте > - залогиниться ldap-пользователем; > - залогиниться несуществующим пользователем. Попробовал. Никаких сюрпризов. Все работает. Может конкретно пояснить, в каком месте "семантическая ошибка"? > Дело в том, что формат pam.conf(5) желательно изучить для того, чтобы > понимать, как работает та или иная конструкция. Давайте не будем пальцы гнуть на ровном месте ;) Повторяю, оба варианта рабочие. Настройки сделаны по аналогии с мануалом (который я и процитировал). И если вы что-то заметили, не соотв. другому ману, то поделитесь пожалуйста конкретикой, а не посылайте искать черную кошку в темной комнате... -- С уважением, Черносов Денис