From: Evgeny Sinelnikov <sin@altlinux.org> To: ALT Linux Team development discussions <devel@lists.altlinux.org> Cc: "Андрей Черепанов" <cas@basealt.ru> Subject: Re: [devel] PAM-политики (модуль sss и служба sssd) Date: Mon, 19 Jun 2017 14:00:24 +0400 Message-ID: <CAK42-GpNF1s+ruEvTHsqiKKwziQ6BkQuvUpqwUqFOXHvHLcOug@mail.gmail.com> (raw) In-Reply-To: <CAK42-Go-Ag1ocxacY=0ZfBUxkP8PvaS2RFH0o9Nv6Yc8AJp74w@mail.gmail.com> 17 июня 2017 г., 14:38 пользователь Evgeny Sinelnikov <sin@altlinux.org> написал: > 17 июня 2017 г., 12:22 пользователь Evgeny Sinelnikov [...] >> Итого, исправленный вариант, который я сейчас отлаживаю выглдядит >> следующим образом: >> >> #%PAM-1.0 >> auth required pam_env.so >> auth [success=ignore default=1] pam_localuser.so >> auth [success=done default=bad] pam_tcb.so shadow fork >> prefix=$2y$ count=8 nullok >> auth requisite pam_succeed_if.so uid >= 500 quiet >> auth required pam_sss.so >> >> account [success=ignore default=1] pam_localuser.so >> account [success=done default=bad] pam_tcb.so shadow fork >> account sufficient pam_succeed_if.so uid < 500 quiet >> account [default=bad success=ok user_unknown=ignore] pam_sss.so >> account required pam_permit.so >> >> password [success=ignore default=2] pam_localuser.so >> password required pam_passwdqc.so config=/etc/passwdqc.conf >> password [success=done default=bad] pam_tcb.so use_authtok >> shadow fork prefix=$2y$ count=8 nullok write_to=tcb >> password requisite pam_succeed_if.so uid >= 500 quiet >> password required pam_sss.so >> >> -session optional pam_keyinit.so revoke >> -session optional pam_systemd.so >> session [success=1 default=ignore] pam_localuser.so >> session [success=1 default=1] pam_sss.so >> session optional pam_tcb.so >> session required pam_mktemp.so >> session required pam_mkhomedir.so silent >> session required pam_limits.so >> >> Логин работает, смена пароля отрабатывает, глобальные и локальные >> политики не смешиваются. В таком же виде нужно обработать >> system-auth-use_first_pass-sss для не интерактивных приложений. >> Например, sshd сам принимает по сети пароль и программно передаёт его >> в стек PAM. >> > > Тестовая сборка с новым вариантом подготовлена в сизиф и в p8: > #184006 FAILED #2 [test-only] p8 sssd.git=1.15.2-alt6%ubt > #184005 TESTED #2 [test-only] sisyphus sssd.git=1.15.2-alt6%ubt > > Сегодня я проведу ещё ряд тестовых проверок, выкачу новый вариант в > сизиф и буду просить все заинтересованных проверить её на своих > конфигурациях в p8. > sssd.git-1.15.2-alt6%ubt предварительно протеcтирован и отправлен в сизиф. Для использования модуля pam_keyinit потребуется новая сборка linux-pam ( https://bugzilla.altlinux.org/show_bug.cgi?id=33558): #184408 EPERM #1 [test-only] sisyphus linux-pam.git=1.3.0-alt2 Остаётся включить в userpasswd всевозможные варианты проверок, иначе его вывод об ошибках смены пароля абсолютно не информативен. Но это родовая травма. Тут нужно широкое вмешательство. Как только новый sssd приедет в сизиф, я заново запущу таску: #184006 FAILED #2 [test-only] p8 sssd.git=1.15.2-alt6%ubt Когда она пересобирётся, можно будет всё попробовать на боевых клиентах. -- Sin (Sinelnikov Evgeny)
prev parent reply other threads:[~2017-06-19 10:00 UTC|newest] Thread overview: 3+ messages / expand[flat|nested] mbox.gz Atom feed top 2017-06-17 8:22 Evgeny Sinelnikov 2017-06-17 10:38 ` Evgeny Sinelnikov 2017-06-19 10:00 ` Evgeny Sinelnikov [this message]
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=CAK42-GpNF1s+ruEvTHsqiKKwziQ6BkQuvUpqwUqFOXHvHLcOug@mail.gmail.com \ --to=sin@altlinux.org \ --cc=cas@basealt.ru \ --cc=devel@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git