[devel] pam.d system-auth

[devel] pam.d system-auth

[Nick S. Grechukh]

проще всего включить лдап - аутентификацию - взять system-auth-winbind и в нем 
pam_winbind заменить на pam_ldap.
для использования system-auth-winbind переименовал его в system-auth, а старый 
(нормальный) в system-auth-standart. и соответственно строчки include 
system-auth заменил на include system-auth-standart. 
как я понимаю. это "нормальный" в альте способ.
если это так, то:
1) почему бы в пакет pam_ldap не добавить system-auth-ldap (по аналогии с 
winbind в samba-common) 
2)почему бы то что сейчас pam.d/system-auth не назвать system-auth-standart, а 
system-auth симлинком на него.
в system-auth-winbind (и ldap) писать include system-auth-standart.

сделать это стандартом, тогда переключение аутентификации будет делаться 
просто изменением симлинка ? все остальные (login, xscreensaver и т.д.) 
ссылаются на system-auth, они и получат то что надо.

если это неправильно: почему?
у нас же не lfs и не slackware, чтобы вручную править конфиг pam.
+так будет меньше шансов забыть что-то (как я, переориентировал login на 
system-auth-winbind, a про pam.d/xscreensaver забыл в итоге у доменного юзера 
запустился kde screensaver, а выйти из него нельзя, никакой пароль не 
принимает) 

Re: [devel] pam.d system-auth

[Alexander Bokovoy]

On Wed, Mar 31, 2004 at 01:18:35PM +0300, Nick S. Grechukh wrote:
> проще всего включить лдап - аутентификацию - взять system-auth-winbind и в нем 
> pam_winbind заменить на pam_ldap.
> для использования system-auth-winbind переименовал его в system-auth, а старый 
> (нормальный) в system-auth-standart. и соответственно строчки include 
> system-auth заменил на include system-auth-standart. 
> как я понимаю. это "нормальный" в альте способ.
> если это так, то:
> 1) почему бы в пакет pam_ldap не добавить system-auth-ldap (по аналогии с 
> winbind в samba-common) 
> 2)почему бы то что сейчас pam.d/system-auth не назвать system-auth-standart, а 
> system-auth симлинком на него.
> в system-auth-winbind (и ldap) писать include system-auth-standart.
> 
> сделать это стандартом, тогда переключение аутентификации будет делаться 
> просто изменением симлинка ? все остальные (login, xscreensaver и т.д.) 
> ссылаются на system-auth, они и получат то что надо.
> 
> если это неправильно: почему?
> у нас же не lfs и не slackware, чтобы вручную править конфиг pam.
> +так будет меньше шансов забыть что-то (как я, переориентировал login на 
> system-auth-winbind, a про pam.d/xscreensaver забыл в итоге у доменного юзера 
> запустился kde screensaver, а выйти из него нельзя, никакой пароль не 
> принимает) 
Я уже предлагал правильное решение -- через control system-auth и даже
Евгений Остапец обещал что-то в виде прототипа сделать. Было это более
месяца назад, но воз и ныне там.

-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

[devel] Re: pam.d system-auth

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 465 bytes --]

On Wed, Mar 31, 2004 at 01:23:41PM +0300, Alexander Bokovoy wrote:
> Я уже предлагал правильное решение -- через control system-auth
> и даже Евгений Остапец обещал что-то в виде прототипа сделать.
> Было это более месяца назад, но воз и ныне там.

Он на днях упоминал, что процесс идет, но надо долизать.

PS: в всемирная организация здравохоронения-то при чем? ;-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] pam.d system-auth

[Nick S. Grechukh]

[-- Attachment #1: Type: text/plain, Size: 1818 bytes --]

В сообщении от Среда 31 Март 2004 13:23 Alexander Bokovoy написал(a):
> On Wed, Mar 31, 2004 at 01:18:35PM +0300, Nick S. Grechukh wrote:
> > проще всего включить лдап - аутентификацию - взять system-auth-winbind и
> > в нем pam_winbind заменить на pam_ldap.
> > для использования system-auth-winbind переименовал его в system-auth, а
> > старый (нормальный) в system-auth-standart. и соответственно строчки
> > include system-auth заменил на include system-auth-standart.
> > как я понимаю. это "нормальный" в альте способ.
> > если это так, то:
> > 1) почему бы в пакет pam_ldap не добавить system-auth-ldap (по аналогии с
> > winbind в samba-common)
> > 2)почему бы то что сейчас pam.d/system-auth не назвать
> > system-auth-standart, а system-auth симлинком на него.
> > в system-auth-winbind (и ldap) писать include system-auth-standart.
> >
> > сделать это стандартом, тогда переключение аутентификации будет делаться
> > просто изменением симлинка ? все остальные (login, xscreensaver и т.д.)
> > ссылаются на system-auth, они и получат то что надо.
> >
> > если это неправильно: почему?
> > у нас же не lfs и не slackware, чтобы вручную править конфиг pam.
> > +так будет меньше шансов забыть что-то (как я, переориентировал login на
> > system-auth-winbind, a про pam.d/xscreensaver забыл в итоге у доменного
> > юзера запустился kde screensaver, а выйти из него нельзя, никакой пароль
> > не принимает)
>
> Я уже предлагал правильное решение -- через control system-auth и даже
> Евгений Остапец обещал что-то в виде прототипа сделать. Было это более
> месяца назад, но воз и ныне там.

вот :-) неправильно, зато работает.
и предложение к майнтайнеру samba-common изменить system-auth-winbind,
майнтайнеру pam-ldap включить в свой пакет system-auth-ldap (прилагается :-) 
по образу и подобию винбиндовского.

[-- Attachment #2: system-auth --]
[-- Type: application/x-shellscript, Size: 370 bytes --]

[-- Attachment #3: system-auth-ldap --]
[-- Type: text/plain, Size: 518 bytes --]

#%PAM-1.0
auth     required	pam_securetty.so
auth     required	pam_nologin.so
auth     sufficient	pam_ldap.so
auth     include	system-auth-use_first_pass
account  sufficient	pam_ldap.so
account  include	system-auth
password sufficient	pam_ldap.so
password include	system-auth-use_first_pass
# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0026
session  include	system-auth

[-- Attachment #4: system-auth-winbind --]
[-- Type: text/plain, Size: 545 bytes --]

#%PAM-1.0
auth     required	pam_securetty.so
auth     required	pam_nologin.so
auth     sufficient	pam_winbind.so
auth     include	system-auth-use_first_pass
account  sufficient	pam_winbind.so
account  include	system-auth-standart
password sufficient	pam_winbind.so
password include	system-auth-use_first_pass
# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0026
session  include	system-auth-standart

Re: [devel] pam.d system-auth

[Alexander Bokovoy]

On Wed, Mar 31, 2004 at 06:07:20PM +0300, Nick S. Grechukh wrote:
> > > у нас же не lfs и не slackware, чтобы вручную править конфиг pam.
> > > +так будет меньше шансов забыть что-то (как я, переориентировал login на
> > > system-auth-winbind, a про pam.d/xscreensaver забыл в итоге у доменного
> > > юзера запустился kde screensaver, а выйти из него нельзя, никакой пароль
> > > не принимает)
> >
> > Я уже предлагал правильное решение -- через control system-auth и даже
> > Евгений Остапец обещал что-то в виде прототипа сделать. Было это более
> > месяца назад, но воз и ныне там.
> 
> вот :-) неправильно, зато работает.
> и предложение к майнтайнеру samba-common изменить system-auth-winbind,
Я пока менять не буду ничего, поскольку system-auth-standard (_d_ на
конце, а не _t_) у нас еще нет.


-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

Re: [devel] pam.d system-auth

[Nick S. Grechukh]

В сообщении от Среда 31 Март 2004 19:09 Alexander Bokovoy написал(a):
> On Wed, Mar 31, 2004 at 06:07:20PM +0300, Nick S. Grechukh wrote:
> > > > у нас же не lfs и не slackware, чтобы вручную править конфиг pam.
> > > > +так будет меньше шансов забыть что-то (как я, переориентировал login
> > > > на system-auth-winbind, a про pam.d/xscreensaver забыл в итоге у
> > > > доменного юзера запустился kde screensaver, а выйти из него нельзя,
> > > > никакой пароль не принимает)
> > >
> > > Я уже предлагал правильное решение -- через control system-auth и даже
> > > Евгений Остапец обещал что-то в виде прототипа сделать. Было это более
> > > месяца назад, но воз и ныне там.
> >
> > вот :-) неправильно, зато работает.
> > и предложение к майнтайнеру samba-common изменить system-auth-winbind,
>
> Я пока менять не буду ничего
ну ясно. задача комплексная, 
в первую очередь изменить pam_config...
обойтись можно и без control пока. просто чтобы каждый новый не начинал 
думать, а куда ж здесь вставить ldap , если конфиги не имеют ничего общего с 
примерами.... неочевидно, на самом деле. а так будет готовое решение, как с 
wb.
> (_d_ на конце, а не _t_).
я в курсе. это была калька с русского.  :-)

Re: [devel] pam.d system-auth

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 459 bytes --]

* Alexander Bokovoy <a.bokovoy@sam-solutions.net> [040331 21:46]:
> > вот :-) неправильно, зато работает.
> > и предложение к майнтайнеру samba-common изменить system-auth-winbind,
> Я пока менять не буду ничего, поскольку system-auth-standard (_d_ на
> конце, а не _t_) у нас еще нет.
Может system-auth-default?


-- 
Regards, Sir Raorn.
-------------------
различные дистрибутивы заинтересованы в различных пользователях.
		-- at in community@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] pam.d system-auth

[Nick S. Grechukh]

[-- Attachment #1: Type: text/plain, Size: 1754 bytes --]

а воз и ныне там?

В сообщении от Среда 31 Март 2004 13:23 Alexander Bokovoy написал(a):
> On Wed, Mar 31, 2004 at 01:18:35PM +0300, Nick S. Grechukh wrote:
> > проще всего включить лдап - аутентификацию - взять system-auth-winbind и
> > в нем pam_winbind заменить на pam_ldap.
> > для использования system-auth-winbind переименовал его в system-auth, а
> > старый (нормальный) в system-auth-standart. и соответственно строчки
> > include system-auth заменил на include system-auth-standart.
> > как я понимаю. это "нормальный" в альте способ.
> > если это так, то:
> > 1) почему бы в пакет pam_ldap не добавить system-auth-ldap (по аналогии с
> > winbind в samba-common)
> > 2)почему бы то что сейчас pam.d/system-auth не назвать
> > system-auth-standart, а system-auth симлинком на него.
> > в system-auth-winbind (и ldap) писать include system-auth-standart.
> >
> > сделать это стандартом, тогда переключение аутентификации будет делаться
> > просто изменением симлинка ? все остальные (login, xscreensaver и т.д.)
> > ссылаются на system-auth, они и получат то что надо.
> >
> > если это неправильно: почему?
> > у нас же не lfs и не slackware, чтобы вручную править конфиг pam.
> > +так будет меньше шансов забыть что-то (как я, переориентировал login на
> > system-auth-winbind, a про pam.d/xscreensaver забыл в итоге у доменного
> > юзера запустился kde screensaver, а выйти из него нельзя, никакой пароль
> > не принимает)
>
> Я уже предлагал правильное решение -- через control system-auth и даже
> Евгений Остапец обещал что-то в виде прототипа сделать. Было это более
> месяца назад, но воз и ныне там.

-- 
с уважением, 
Nick S. Grechukh
JID: ngrechukh@jabber.ru

network administrator of
Refractory Trading House 

JID: ngrechukh@jabber.ru

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] pam.d system-auth

[Alexander Bokovoy]

On Thu, Jul 15, 2004 at 04:16:18PM +0300, Nick S. Grechukh wrote:
> а воз и ныне там?
От Жени реакции нет давно.


-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

Re: [devel] pam.d system-auth

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1141 bytes --]

On Wed, Mar 31, 2004 at 01:18:35PM +0300, Nick S. Grechukh wrote:
> проще всего включить лдап - аутентификацию - взять system-auth-winbind и в нем 
> pam_winbind заменить на pam_ldap.
> для использования system-auth-winbind переименовал его в system-auth, а старый 
> (нормальный) в system-auth-standart. и соответственно строчки include 
> system-auth заменил на include system-auth-standart. 
> как я понимаю. это "нормальный" в альте способ.
> если это так, то:
> 1) почему бы в пакет pam_ldap не добавить system-auth-ldap (по аналогии с 
> winbind в samba-common) 
> 2)почему бы то что сейчас pam.d/system-auth не назвать system-auth-standart, а 
> system-auth симлинком на него.
> в system-auth-winbind (и ldap) писать include system-auth-standart.
> 
> сделать это стандартом, тогда переключение аутентификации будет делаться 
> просто изменением симлинка ? все остальные (login, xscreensaver и т.д.) 
> ссылаются на system-auth, они и получат то что надо.
> 
> если это неправильно: почему?

Зачем так сложно.

Вы просто заменяете содержимое system-auth и system-auth-use_first_pass, и
все дела.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] pam.d system-auth

[Alexander Bokovoy]

On Wed, Mar 31, 2004 at 02:29:15PM +0400, Dmitry V. Levin wrote:
> On Wed, Mar 31, 2004 at 01:18:35PM +0300, Nick S. Grechukh wrote:
> > проще всего включить лдап - аутентификацию - взять system-auth-winbind и в нем 
> > pam_winbind заменить на pam_ldap.
> > для использования system-auth-winbind переименовал его в system-auth, а старый 
> > (нормальный) в system-auth-standart. и соответственно строчки include 
> > system-auth заменил на include system-auth-standart. 
> > как я понимаю. это "нормальный" в альте способ.
> > если это так, то:
> > 1) почему бы в пакет pam_ldap не добавить system-auth-ldap (по аналогии с 
> > winbind в samba-common) 
> > 2)почему бы то что сейчас pam.d/system-auth не назвать system-auth-standart, а 
> > system-auth симлинком на него.
> > в system-auth-winbind (и ldap) писать include system-auth-standart.
> > 
> > сделать это стандартом, тогда переключение аутентификации будет делаться 
> > просто изменением симлинка ? все остальные (login, xscreensaver и т.д.) 
> > ссылаются на system-auth, они и получат то что надо.
> > 
> > если это неправильно: почему?
> 
> Зачем так сложно.
> 
> Вы просто заменяете содержимое system-auth и system-auth-use_first_pass, и
> все дела.
Нет. Хочу, чтобы это происходило из единой точки входа, которой является
control system-auth.

-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

Re: [devel] pam.d system-auth

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1570 bytes --]

On Wed, Mar 31, 2004 at 02:55:06PM +0300, Alexander Bokovoy wrote:
> On Wed, Mar 31, 2004 at 02:29:15PM +0400, Dmitry V. Levin wrote:
> > On Wed, Mar 31, 2004 at 01:18:35PM +0300, Nick S. Grechukh wrote:
> > > проще всего включить лдап - аутентификацию - взять system-auth-winbind и в нем 
> > > pam_winbind заменить на pam_ldap.
> > > для использования system-auth-winbind переименовал его в system-auth, а старый 
> > > (нормальный) в system-auth-standart. и соответственно строчки include 
> > > system-auth заменил на include system-auth-standart. 
> > > как я понимаю. это "нормальный" в альте способ.
> > > если это так, то:
> > > 1) почему бы в пакет pam_ldap не добавить system-auth-ldap (по аналогии с 
> > > winbind в samba-common) 
> > > 2)почему бы то что сейчас pam.d/system-auth не назвать system-auth-standart, а 
> > > system-auth симлинком на него.
> > > в system-auth-winbind (и ldap) писать include system-auth-standart.
> > > 
> > > сделать это стандартом, тогда переключение аутентификации будет делаться 
> > > просто изменением симлинка ? все остальные (login, xscreensaver и т.д.) 
> > > ссылаются на system-auth, они и получат то что надо.
> > > 
> > > если это неправильно: почему?
> > 
> > Зачем так сложно.
> > 
> > Вы просто заменяете содержимое system-auth и system-auth-use_first_pass, и
> > все дела.
> Нет. Хочу, чтобы это происходило из единой точки входа, которой является
> control system-auth.

Если хотите - делайте, но мне это кажется на данном этапе не более чем
излишним усложнением.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] pam.d system-auth

[Alexander Bokovoy]

On Wed, Mar 31, 2004 at 04:35:34PM +0400, Dmitry V. Levin wrote:
> > > > сделать это стандартом, тогда переключение аутентификации будет делаться 
> > > > просто изменением симлинка ? все остальные (login, xscreensaver и т.д.) 
> > > > ссылаются на system-auth, они и получат то что надо.
> > > > 
> > > > если это неправильно: почему?
> > > 
> > > Зачем так сложно.
> > > 
> > > Вы просто заменяете содержимое system-auth и system-auth-use_first_pass, и
> > > все дела.
> > Нет. Хочу, чтобы это происходило из единой точки входа, которой является
> > control system-auth.
> 
> Если хотите - делайте, но мне это кажется на данном этапе не более чем
> излишним усложнением.
На каком "данном"? У нас уже есть три кандидата на system-auth (tcb,
winbind, ldap) и технически еще может быть NIS. Такое состояние уже около
года как минимум. Оставлять переключение на усмотрение пользователя
конечно можно, но какой тогда вообще толк от нашей работы?

-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

Re: [devel] pam.d system-auth

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1122 bytes --]

On Wed, Mar 31, 2004 at 04:17:06PM +0300, Alexander Bokovoy wrote:
> On Wed, Mar 31, 2004 at 04:35:34PM +0400, Dmitry V. Levin wrote:
> > > > > сделать это стандартом, тогда переключение аутентификации будет делаться 
> > > > > просто изменением симлинка ? все остальные (login, xscreensaver и т.д.) 
> > > > > ссылаются на system-auth, они и получат то что надо.
> > > > > 
> > > > > если это неправильно: почему?
> > > > 
> > > > Зачем так сложно.
> > > > 
> > > > Вы просто заменяете содержимое system-auth и system-auth-use_first_pass, и
> > > > все дела.
> > > Нет. Хочу, чтобы это происходило из единой точки входа, которой является
> > > control system-auth.
> > 
> > Если хотите - делайте, но мне это кажется на данном этапе не более чем
> > излишним усложнением.
> На каком "данном"? У нас уже есть три кандидата на system-auth (tcb,
> winbind, ldap) и технически еще может быть NIS. Такое состояние уже около
> года как минимум. Оставлять переключение на усмотрение пользователя
> конечно можно, но какой тогда вообще толк от нашей работы?

Чтобы было на что переключать. :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] pam.d system-auth

[Alexander Bokovoy]

On Wed, Mar 31, 2004 at 05:24:25PM +0400, Dmitry V. Levin wrote:
> > > > > Зачем так сложно.
> > > > > 
> > > > > Вы просто заменяете содержимое system-auth и system-auth-use_first_pass, и
> > > > > все дела.
> > > > Нет. Хочу, чтобы это происходило из единой точки входа, которой является
> > > > control system-auth.
> > > 
> > > Если хотите - делайте, но мне это кажется на данном этапе не более чем
> > > излишним усложнением.
> > На каком "данном"? У нас уже есть три кандидата на system-auth (tcb,
> > winbind, ldap) и технически еще может быть NIS. Такое состояние уже около
> > года как минимум. Оставлять переключение на усмотрение пользователя
> > конечно можно, но какой тогда вообще толк от нашей работы?
> 
> Чтобы было на что переключать. :)
А я хочу, чтобы было _чем_ переключать. На что переключать мы уже сделали.
Осталось сделать _чем_.

:-)

-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

Re: [devel] pam.d system-auth

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 636 bytes --]

* Alexander Bokovoy <a.bokovoy@sam-solutions.net> [040331 19:25]:
> > Вы просто заменяете содержимое system-auth и system-auth-use_first_pass, и
> > все дела.
> Нет. Хочу, чтобы это происходило из единой точки входа, которой является
> control system-auth.
Мне ещё хочется чтобы влияло не только на весь system-auth, но и
на отдельные pam-сервисы (например включить winbind только для
samba и ldap для courier).

-- 
Regards, Sir Raorn.
-------------------
Привилегированный процесс (euid==0) обладает таким БОЛЬШИМ количеством
способов выйти из chroot jail, что об этом даже говорить не интересно.
		-- ldv in sisyphus@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] pam.d system-auth

[Nick S. Grechukh]

В сообщении от Четверг 01 Апрель 2004 08:48 Alexey I. Froloff написал(a):
> * Alexander Bokovoy <a.bokovoy@sam-solutions.net> [040331 19:25]:
> > > Вы просто заменяете содержимое system-auth и
> > > system-auth-use_first_pass, и все дела.
> >
> > Нет. Хочу, чтобы это происходило из единой точки входа, которой является
> > control system-auth.
>
> Мне ещё хочется чтобы влияло не только на весь system-auth, но и
> на отдельные pam-сервисы (например включить winbind только для
> samba и ldap для courier).
имхо это уже не формализуется.
для отдельных сервисов - в пам конфиге этого сервиса system-auth заменяем на 
system-auth-ldap.
то что я предлагал - это как раз глобальная подмена конфигурации, которая 
должна делаться на системном уровне. с отдельными сервисами и так все просто.

Re: [devel] pam.d system-auth

[Nick S. Grechukh]

В сообщении от Среда 31 Март 2004 13:29 Dmitry V. Levin написал(a):
> On Wed, Mar 31, 2004 at 01:18:35PM +0300, Nick S. Grechukh wrote:
> > проще всего включить лдап - аутентификацию - взять system-auth-winbind и
> > в нем pam_winbind заменить на pam_ldap.
> > для использования system-auth-winbind переименовал его в system-auth, а
> > старый (нормальный) в system-auth-standart. и соответственно строчки
> > include system-auth заменил на include system-auth-standart.
> > как я понимаю. это "нормальный" в альте способ.
> > если это так, то:
> > 1) почему бы в пакет pam_ldap не добавить system-auth-ldap (по аналогии с
> > winbind в samba-common)
> > 2)почему бы то что сейчас pam.d/system-auth не назвать
> > system-auth-standart, а system-auth симлинком на него.
> > в system-auth-winbind (и ldap) писать include system-auth-standart.
> >
> > сделать это стандартом, тогда переключение аутентификации будет делаться
> > просто изменением симлинка ? все остальные (login, xscreensaver и т.д.)
> > ссылаются на system-auth, они и получат то что надо.
> >
> > если это неправильно: почему?
>
> Зачем так сложно.
>
> Вы просто заменяете содержимое system-auth и system-auth-use_first_pass, и
> все дела.

да, но я хочу чтобы могли входить _и_ winbind-юзеры, _и_ локальные.
в system-auth-winbind это реализовано изначально, через include system-auth.
но если я заменяю system-auth винбиндовским, то include зацикливается.
_поэтому_  нормальный system-auth надо сохранить, и system-auth-winbind 
переориентировать на него.

Re: [devel] pam.d system-auth

[Nick S. Grechukh]

> да, но я хочу чтобы могли входить _и_ winbind-юзеры, _и_ локальные.
> в system-auth-winbind это реализовано изначально, через include
> system-auth. но если я заменяю system-auth винбиндовским, то include
> зацикливается. 

уточняю: этот вариант вообще на работает. вообще перестает пускать кого бы то 
ни было, из-за зацикленного на себя include