Re: [devel] PAM-политики (модуль sss и служба sssd)

[Evgeny Sinelnikov <sin@altlinux.org>]

17 июня 2017 г., 14:38 пользователь Evgeny Sinelnikov
<sin@altlinux.org> написал:
> 17 июня 2017 г., 12:22 пользователь Evgeny Sinelnikov
[...]
>> Итого, исправленный вариант, который я сейчас отлаживаю выглдядит
>> следующим образом:
>>
>> #%PAM-1.0
>> auth            required        pam_env.so
>> auth            [success=ignore default=1]      pam_localuser.so
>> auth            [success=done default=bad]      pam_tcb.so shadow fork
>> prefix=$2y$ count=8 nullok
>> auth            requisite       pam_succeed_if.so uid >= 500 quiet
>> auth            required        pam_sss.so
>>
>> account         [success=ignore default=1]      pam_localuser.so
>> account         [success=done default=bad]      pam_tcb.so shadow fork
>> account         sufficient      pam_succeed_if.so uid < 500 quiet
>> account         [default=bad success=ok user_unknown=ignore]    pam_sss.so
>> account         required        pam_permit.so
>>
>> password        [success=ignore default=2]      pam_localuser.so
>> password        required        pam_passwdqc.so config=/etc/passwdqc.conf
>> password        [success=done default=bad]      pam_tcb.so use_authtok
>> shadow fork prefix=$2y$ count=8 nullok write_to=tcb
>> password        requisite       pam_succeed_if.so uid >= 500 quiet
>> password        required        pam_sss.so
>>
>> -session        optional        pam_keyinit.so revoke
>> -session        optional        pam_systemd.so
>> session         [success=1 default=ignore]      pam_localuser.so
>> session         [success=1 default=1]   pam_sss.so
>> session         optional        pam_tcb.so
>> session         required        pam_mktemp.so
>> session         required        pam_mkhomedir.so silent
>> session         required        pam_limits.so
>>
>> Логин работает, смена пароля отрабатывает, глобальные и локальные
>> политики не смешиваются. В таком же виде нужно обработать
>> system-auth-use_first_pass-sss для не интерактивных приложений.
>> Например, sshd сам принимает по сети пароль и программно передаёт его
>> в стек PAM.
>>
>
> Тестовая сборка с новым вариантом подготовлена в сизиф и в p8:
> #184006 FAILED #2 [test-only] p8 sssd.git=1.15.2-alt6%ubt
> #184005 TESTED #2 [test-only] sisyphus sssd.git=1.15.2-alt6%ubt
>
> Сегодня я проведу ещё ряд тестовых проверок, выкачу новый вариант в
> сизиф и буду просить все заинтересованных проверить её на своих
> конфигурациях в p8.
>

sssd.git-1.15.2-alt6%ubt предварительно протеcтирован и отправлен в сизиф.

Для использования модуля pam_keyinit потребуется новая сборка linux-pam (
https://bugzilla.altlinux.org/show_bug.cgi?id=33558):
#184408 EPERM #1 [test-only] sisyphus linux-pam.git=1.3.0-alt2

Остаётся включить в userpasswd всевозможные варианты проверок, иначе
его вывод об ошибках смены пароля абсолютно не информативен. Но это
родовая травма. Тут нужно широкое вмешательство. Как только новый sssd
приедет в сизиф, я заново запущу таску:
#184006 FAILED #2 [test-only] p8 sssd.git=1.15.2-alt6%ubt

Когда она пересобирётся, можно будет всё попробовать на боевых клиентах.


-- 
Sin (Sinelnikov Evgeny)