* [devel] Нужен совет по pam
@ 2007-11-07 23:12 Motsyo Gennadi aka Drool
2007-11-07 23:28 ` Avramenko Andrew
2007-11-07 23:29 ` Dmitry V. Levin
0 siblings, 2 replies; 10+ messages in thread
From: Motsyo Gennadi aka Drool @ 2007-11-07 23:12 UTC (permalink / raw)
To: ALT Devel discussion list
Приветствую!
Есть программулина:
http://qtsmbstatus.free.fr/
Ее суть - консольный демон-клиент, который ставится вместе с
samba-сервером, и графическая морда для smbstatus, которая позволяет
просматривать удаленно, подсоединяясь к своей демонической части, что
происходит на samba-сервере, кто что качает, кто какие ресурсы открыл...
Можно немножко поадминить - отключить юзера, отправить сообщение.
Задумка неплохая и удобная. Я ее собрал (пока лежит здесь:
http://fly.osdn.org.ua/~drool/qtsmbstatus/ )
Но вылезло такое - применяемый в программе модуль авторизации pam не
дает подсоединиться клиентом со своим демоном - не проходит авторизация.
Я подсмотрел как организованы другие pam-модули, и вроде заработало, но
оказалось что теперь пускает разрешенных пользователей, но с любым не
пустым паролем.
При авторизации используются ssl-ключ и сертификат.
Вот содержимое авторского pam-модуля:
auth required pam_unix.so nullok
auth required pam_listfile.so
file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow item=user
account required pam_unix.so
session required pam_unix.so
password required pam_unix.so
А так выглядит модуль, который пускает кого положено, но с любым не
пустым паролем:
+auth sufficient pam_rootok.so
+auth include system-auth
+auth required pam_listfile.so
file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow item=user
+account required pam_permit.so
+password required pam_deny.so
+session optional pam_xauth.so
Что не так (кроме кривых рук)?
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] Нужен совет по pam
2007-11-07 23:12 [devel] Нужен совет по pam Motsyo Gennadi aka Drool
@ 2007-11-07 23:28 ` Avramenko Andrew
2007-11-07 23:31 ` Dmitry V. Levin
2007-11-07 23:29 ` Dmitry V. Levin
1 sibling, 1 reply; 10+ messages in thread
From: Avramenko Andrew @ 2007-11-07 23:28 UTC (permalink / raw)
To: ALT Linux Team development discussions
В первом случае по всей видимости не хватает строчки для работы с tcb.
Во втором случае - здесь должен быть required: auth sufficient pam_rootok.so
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] Нужен совет по pam
2007-11-07 23:12 [devel] Нужен совет по pam Motsyo Gennadi aka Drool
2007-11-07 23:28 ` Avramenko Andrew
@ 2007-11-07 23:29 ` Dmitry V. Levin
2007-11-08 6:58 ` Motsyo Gennadi aka Drool
2007-11-08 10:31 ` Motsyo Gennadi aka Drool
1 sibling, 2 replies; 10+ messages in thread
From: Dmitry V. Levin @ 2007-11-07 23:29 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1167 bytes --]
On Thu, Nov 08, 2007 at 01:12:31AM +0200, Motsyo Gennadi aka Drool wrote:
[...]
> Вот содержимое авторского pam-модуля:
>
> auth required pam_unix.so nullok
> auth required pam_listfile.so
> file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow item=user
> account required pam_unix.so
> session required pam_unix.so
> password required pam_unix.so
>
> А так выглядит модуль, который пускает кого положено, но с любым не
> пустым паролем:
>
> +auth sufficient pam_rootok.so
> +auth include system-auth
> +auth required pam_listfile.so
> file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow item=user
> +account required pam_permit.so
> +password required pam_deny.so
> +session optional pam_xauth.so
>
> Что не так (кроме кривых рук)?
Незнание предмета. Пожалуйста, ознакомьтесь хотя бы с документацией,
входящей в пакеты pam и pam0_tcb, и посмотрите примеры использования
в каталоге /etc/pam.d/ (прежде всего system-auth, а также те файлы,
которые его включают).
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] Нужен совет по pam
2007-11-07 23:28 ` Avramenko Andrew
@ 2007-11-07 23:31 ` Dmitry V. Levin
0 siblings, 0 replies; 10+ messages in thread
From: Dmitry V. Levin @ 2007-11-07 23:31 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 307 bytes --]
On Thu, Nov 08, 2007 at 02:28:09AM +0300, Avramenko Andrew wrote:
> В первом случае по всей видимости не хватает строчки для работы с tcb.
$ readlink /lib/security/pam_unix.so
pam_tcb.so
> Во втором случае - здесь должен быть required: auth sufficient pam_rootok.so
Нет.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] Нужен совет по pam
2007-11-07 23:29 ` Dmitry V. Levin
@ 2007-11-08 6:58 ` Motsyo Gennadi aka Drool
2007-11-08 10:31 ` Motsyo Gennadi aka Drool
1 sibling, 0 replies; 10+ messages in thread
From: Motsyo Gennadi aka Drool @ 2007-11-08 6:58 UTC (permalink / raw)
To: ALT Linux Team development discussions
Dmitry V. Levin пишет:
>> Вот содержимое авторского pam-модуля:
>>
>> auth required pam_unix.so nullok
>> auth required pam_listfile.so
>> file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow item=user
>> account required pam_unix.so
>> session required pam_unix.so
>> password required pam_unix.so
>>
>> А так выглядит модуль, который пускает кого положено, но с любым не
>> пустым паролем:
>>
>> +auth sufficient pam_rootok.so
>> +auth include system-auth
>> +auth required pam_listfile.so
>> file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow item=user
>> +account required pam_permit.so
>> +password required pam_deny.so
>> +session optional pam_xauth.so
>>
>> Что не так (кроме кривых рук)?
>
> Незнание предмета. Пожалуйста, ознакомьтесь хотя бы с документацией,
> входящей в пакеты pam и pam0_tcb, и посмотрите примеры использования
> в каталоге /etc/pam.d/ (прежде всего system-auth, а также те файлы,
> которые его включают).
Результатом чтения документации и примеров других модулей из
/etc/pam.d/ именно и стала такая странная работа - вроде бы и не пускает
ненужных пользователей, но и с любым паролем.
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] Нужен совет по pam
2007-11-07 23:29 ` Dmitry V. Levin
2007-11-08 6:58 ` Motsyo Gennadi aka Drool
@ 2007-11-08 10:31 ` Motsyo Gennadi aka Drool
2007-11-08 11:47 ` Dmitry V. Levin
1 sibling, 1 reply; 10+ messages in thread
From: Motsyo Gennadi aka Drool @ 2007-11-08 10:31 UTC (permalink / raw)
To: ALT Linux Team development discussions
Dmitry V. Levin пишет:
> On Thu, Nov 08, 2007 at 01:12:31AM +0200, Motsyo Gennadi aka Drool wrote:
> [...]
>> Вот содержимое авторского pam-модуля:
>>
>> auth required pam_unix.so nullok
>> auth required pam_listfile.so
>> file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow item=user
>> account required pam_unix.so
>> session required pam_unix.so
>> password required pam_unix.so
>>
>> А так выглядит модуль, который пускает кого положено, но с любым не
>> пустым паролем:
>>
>> +auth sufficient pam_rootok.so
>> +auth include system-auth
>> +auth required pam_listfile.so
>> file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow item=user
>> +account required pam_permit.so
>> +password required pam_deny.so
>> +session optional pam_xauth.so
>>
>> Что не так (кроме кривых рук)?
>
> Незнание предмета.
Я это и не скрываю. Лучше скромно спросить, чем гордо не знать. Знал бы
предмет - не спрашивал бы.
> Пожалуйста, ознакомьтесь хотя бы с документацией,
> входящей в пакеты pam и pam0_tcb, и посмотрите примеры использования
> в каталоге /etc/pam.d/ (прежде всего system-auth, а также те файлы,
> которые его включают).
Читал маны и /usr/share/doc/Linux-PAM-0.99.6.3/html. Ничего не понял,
кроме того что pam есть вещь туманная, по-крайней мере для простого
смертного.
Только что разработчик программы ответил мылом. Кроме некоторых его
теоретических предположений почему может не работать, есть такое:
....
I'll install ALT Linux and test it with qtsmbstatus.
....
Это вам не в man послать...
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] Нужен совет по pam
2007-11-08 10:31 ` Motsyo Gennadi aka Drool
@ 2007-11-08 11:47 ` Dmitry V. Levin
2007-11-08 12:27 ` Led
2007-11-08 12:49 ` Michael Shigorin
0 siblings, 2 replies; 10+ messages in thread
From: Dmitry V. Levin @ 2007-11-08 11:47 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 1903 bytes --]
On Thu, Nov 08, 2007 at 12:31:26PM +0200, Motsyo Gennadi aka Drool wrote:
> Dmitry V. Levin пишет:
> > On Thu, Nov 08, 2007 at 01:12:31AM +0200, Motsyo Gennadi aka Drool wrote:
> > [...]
> >> Вот содержимое авторского pam-модуля:
> >>
> >> auth required pam_unix.so nullok
> >> auth required pam_listfile.so
> >> file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow item=user
> >> account required pam_unix.so
> >> session required pam_unix.so
> >> password required pam_unix.so
> >>
> >> А так выглядит модуль, который пускает кого положено, но с любым не
> >> пустым паролем:
> >>
> >> +auth sufficient pam_rootok.so
> >> +auth include system-auth
> >> +auth required pam_listfile.so
> >> file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow item=user
> >> +account required pam_permit.so
> >> +password required pam_deny.so
> >> +session optional pam_xauth.so
> >>
> >> Что не так (кроме кривых рук)?
> >
> > Незнание предмета.
>
> Я это и не скрываю. Лучше скромно спросить, чем гордо не знать. Знал бы
> предмет - не спрашивал бы.
OK, наводящий вопрос:
Объясните, пожалуйста, с какими правами работает приложение,
и какой смысл вкладывается в "auth sufficient pam_rootok.so"?
> > Пожалуйста, ознакомьтесь хотя бы с документацией,
> > входящей в пакеты pam и pam0_tcb, и посмотрите примеры использования
> > в каталоге /etc/pam.d/ (прежде всего system-auth, а также те файлы,
> > которые его включают).
>
> Читал маны и /usr/share/doc/Linux-PAM-0.99.6.3/html. Ничего не понял,
> кроме того что pam есть вещь туманная, по-крайней мере для простого
> смертного.
Вы хотите получить готовый правильный ответ, или вы хотите понять
как получить правильный ответ самостоятельно?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] Нужен совет по pam
2007-11-08 11:47 ` Dmitry V. Levin
@ 2007-11-08 12:27 ` Led
2007-11-08 12:47 ` Motsyo Gennadi aka Drool
2007-11-08 12:49 ` Michael Shigorin
1 sibling, 1 reply; 10+ messages in thread
From: Led @ 2007-11-08 12:27 UTC (permalink / raw)
To: ALT Linux Team development discussions
В сообщении от Thursday 08 November 2007 13:47:22 Dmitry V. Levin написал(а):
> On Thu, Nov 08, 2007 at 12:31:26PM +0200, Motsyo Gennadi aka Drool wrote:
> > Dmitry V. Levin пишет:
> > > On Thu, Nov 08, 2007 at 01:12:31AM +0200, Motsyo Gennadi aka Drool
> > > wrote: [...]
> > >
> > >> Вот содержимое авторского pam-модуля:
> > >>
> > >> auth required pam_unix.so nullok
> > >> auth required pam_listfile.so
> > >> file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow
> > >> item=user account required pam_unix.so
> > >> session required pam_unix.so
> > >> password required pam_unix.so
> > >>
> > >> А так выглядит модуль, который пускает кого положено, но с любым не
> > >> пустым паролем:
> > >>
> > >> +auth sufficient pam_rootok.so
> > >> +auth include system-auth
> > >> +auth required pam_listfile.so
> > >> file=/etc/qtsmbstatusd/qtsmbstatusd.users onerr=fail sense=allow
> > >> item=user +account required pam_permit.so
> > >> +password required pam_deny.so
> > >> +session optional pam_xauth.so
> > >>
> > >> Что не так (кроме кривых рук)?
> > >
> > > Незнание предмета.
> >
> > Я это и не скрываю. Лучше скромно спросить, чем гордо не знать. Знал бы
> > предмет - не спрашивал бы.
>
> OK, наводящий вопрос:
> Объясните, пожалуйста, с какими правами работает приложение,
> и какой смысл вкладывается в "auth sufficient pam_rootok.so"?
>
> > > Пожалуйста, ознакомьтесь хотя бы с документацией,
> > > входящей в пакеты pam и pam0_tcb, и посмотрите примеры использования
> > > в каталоге /etc/pam.d/ (прежде всего system-auth, а также те файлы,
> > > которые его включают).
> >
> > Читал маны и /usr/share/doc/Linux-PAM-0.99.6.3/html. Ничего не понял,
> > кроме того что pam есть вещь туманная, по-крайней мере для простого
> > смертного.
>
> Вы хотите получить готовый правильный ответ, или вы хотите понять
> как получить правильный ответ самостоятельно?
Это не я спрашивал изначально, но лично я хотел бы получить внятное
руководство по настройке/конфигурированию pam с учётом ALT-специфики. Мануалы
в пакете таким руководством не являются (к сожалению), они дают только
намёки :(
--
Led
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] Нужен совет по pam
2007-11-08 12:27 ` Led
@ 2007-11-08 12:47 ` Motsyo Gennadi aka Drool
0 siblings, 0 replies; 10+ messages in thread
From: Motsyo Gennadi aka Drool @ 2007-11-08 12:47 UTC (permalink / raw)
To: ALT Linux Team development discussions
Led пишет:
>> Вы хотите получить готовый правильный ответ, или вы хотите понять
>> как получить правильный ответ самостоятельно?
>
> Это не я спрашивал изначально, но лично я хотел бы получить внятное
> руководство по настройке/конфигурированию pam с учётом ALT-специфики. Мануалы
> в пакете таким руководством не являются (к сожалению), они дают только
> намёки :(
Я не семи пядей во лбу, но и не F.70, мне эти доки просветления не
принесли.
Автор софтины сам вызвался ставить альт :-) Что ж, посмотрим... От меня
готовы русская и украинская локализация.
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] Нужен совет по pam
2007-11-08 11:47 ` Dmitry V. Levin
2007-11-08 12:27 ` Led
@ 2007-11-08 12:49 ` Michael Shigorin
1 sibling, 0 replies; 10+ messages in thread
From: Michael Shigorin @ 2007-11-08 12:49 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Thu, Nov 08, 2007 at 02:47:22PM +0300, Dmitry V. Levin wrote:
> Вы хотите получить готовый правильный ответ, или вы хотите
> понять как получить правильный ответ самостоятельно?
Думаю, первое. Второе обычно неоправдано при редких
столкновениях с тематикой, разве что понятое немедленно
документировать (и сверять).
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2007-11-08 12:49 UTC | newest]
Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-11-07 23:12 [devel] Нужен совет по pam Motsyo Gennadi aka Drool
2007-11-07 23:28 ` Avramenko Andrew
2007-11-07 23:31 ` Dmitry V. Levin
2007-11-07 23:29 ` Dmitry V. Levin
2007-11-08 6:58 ` Motsyo Gennadi aka Drool
2007-11-08 10:31 ` Motsyo Gennadi aka Drool
2007-11-08 11:47 ` Dmitry V. Levin
2007-11-08 12:27 ` Led
2007-11-08 12:47 ` Motsyo Gennadi aka Drool
2007-11-08 12:49 ` Michael Shigorin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git