* [sisyphus] Master 2.2 и LDAP
@ 2003-03-10 8:42 Arcady V. Ivanov
2003-03-10 8:48 ` Peter V. Saveliev
0 siblings, 1 reply; 17+ messages in thread
From: Arcady V. Ivanov @ 2003-03-10 8:42 UTC (permalink / raw)
To: sisyphus
Переехал на Master 2.2 сразу на нескольких компах.
Слетел LDAP через SSL.
Работает только в режиме:
---------------------------------------
#uri ldaps://serv.help0.ru
#ssl on
uri ldap://serv.help0.ru
base dc=help0,dc=ru
ldap_version 3
rootbinddn cn=proxyuser,dc=help0,dc=ru
----------------------------------------
Как ни крутил, не работает гад.
Черните подсказку или просто скажите,
что у вас все работает между компами на Master 2.2.
Тогда буду искать глупые ошибки.
--
SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
2003-03-10 8:42 [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
@ 2003-03-10 8:48 ` Peter V. Saveliev
2003-03-10 9:10 ` Arcady V. Ivanov
0 siblings, 1 reply; 17+ messages in thread
From: Peter V. Saveliev @ 2003-03-10 8:48 UTC (permalink / raw)
To: sisyphus
On Mon, 10 Mar 2003 20:42:44 +1200
"Arcady V. Ivanov" <arc@help0.ru> wrote:
> Переехал на Master 2.2 сразу на нескольких компах.
>
> Слетел LDAP через SSL.
>
> Работает только в режиме:
> ---------------------------------------
> #uri ldaps://serv.help0.ru
> #ssl on
> uri ldap://serv.help0.ru
> base dc=help0,dc=ru
> ldap_version 3
> rootbinddn cn=proxyuser,dc=help0,dc=ru
> ----------------------------------------
>
> Как ни крутил, не работает гад.
> Черните подсказку или просто скажите,
> что у вас все работает между компами на Master 2.2.
>
> Тогда буду искать глупые ошибки.
>
Глупый вопрос, а serv.help0.ru резолвится на всех машинах-участниках
ldap-домена, включая сервер?
То есть, не на Мастере, но на Сизифе вплоть до недели назад (до сейчас
еще не обновлен) все работает без перебоев.
--
Sincerely, Peter V. Saveliev
E-mail: peet@eltel.net
Jabber: peet@jabber.ru
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
2003-03-10 8:48 ` Peter V. Saveliev
@ 2003-03-10 9:10 ` Arcady V. Ivanov
2003-03-10 10:02 ` Peter V. Saveliev
2003-03-11 7:45 ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
0 siblings, 2 replies; 17+ messages in thread
From: Arcady V. Ivanov @ 2003-03-10 9:10 UTC (permalink / raw)
To: sisyphus
Peter V. Saveliev пишет:
>On Mon, 10 Mar 2003 20:42:44 +1200
>"Arcady V. Ivanov" <arc@help0.ru> wrote:
>
>
>
>>Переехал на Master 2.2 сразу на нескольких компах.
>>
>>Слетел LDAP через SSL.
>>
>>Работает только в режиме:
>>---------------------------------------
>>#uri ldaps://serv.help0.ru
>>#ssl on
>>uri ldap://serv.help0.ru
>>base dc=help0,dc=ru
>>ldap_version 3
>>rootbinddn cn=proxyuser,dc=help0,dc=ru
>>----------------------------------------
>>
>>Как ни крутил, не работает гад.
>>Черните подсказку или просто скажите,
>>что у вас все работает между компами на Master 2.2.
>>
>>Тогда буду искать глупые ошибки.
>>
>>
>>
>
>Глупый вопрос, а serv.help0.ru резолвится на всех машинах-участниках
>ldap-домена, включая сервер?
>
Если бы не резолвился, то и без SSL бы не работал.
>То есть, не на Мастере, но на Сизифе вплоть до недели назад (до сейчас
>еще не обновлен) все работает без перебоев.
>
>
Спасибо. Это обнадеживает.
--
SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
2003-03-10 9:10 ` Arcady V. Ivanov
@ 2003-03-10 10:02 ` Peter V. Saveliev
2003-03-10 19:21 ` Re[2]: [sisyphus] Master 2.2 É LDAP Volkov Serge
2003-03-11 7:45 ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
1 sibling, 1 reply; 17+ messages in thread
From: Peter V. Saveliev @ 2003-03-10 10:02 UTC (permalink / raw)
To: sisyphus
On Mon, 10 Mar 2003 21:10:31 +1200
"Arcady V. Ivanov" <arc@help0.ru> wrote:
<skip />
> Если бы не резолвился, то и без SSL бы не работал.
<skip />
У меня переставал работать SSL, когда имя, на которое сделан сертификат,
ldap.main, не резолвилось на самом сервере, или как-то так. В общем,
когда то, что он срашивал, пользуясь /etc/ldap.conf, не сходилось с тем,
что выдавал сервер.
Это довольно легко отслеживается через дебажный вывод ldapsearch, он и
ssl-диалог выводит, что помогает сильно.
--
Sincerely, Peter V. Saveliev
E-mail: peet@eltel.net
Jabber: peet@jabber.ru
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re[2]: [sisyphus] Master 2.2 É LDAP
2003-03-10 10:02 ` Peter V. Saveliev
@ 2003-03-10 19:21 ` Volkov Serge
0 siblings, 0 replies; 17+ messages in thread
From: Volkov Serge @ 2003-03-10 19:21 UTC (permalink / raw)
To: Peter V. Saveliev
Hello Peter,
Monday, March 10, 2003, 1:02:28 PM, you wrote:
PVS> On Mon, 10 Mar 2003 21:10:31 +1200
PVS> "Arcady V. Ivanov" <arc@help0.ru> wrote:
PVS> <skip />
>> Если бы не резолвился, то и без SSL бы не работал.
PVS> <skip />
PVS> У меня переставал работать SSL, когда имя, на которое сделан сертификат,
PVS> ldap.main, не резолвилось на самом сервере, или как-то так. В общем,
PVS> когда то, что он срашивал, пользуясь /etc/ldap.conf, не сходилось с тем,
PVS> что выдавал сервер.
Имеется в виду /etc/openldap/ldap.conf
что говорит лог LDAP сервера?
PVS> Это довольно легко отслеживается через дебажный вывод ldapsearch, он и
PVS> ssl-диалог выводит, что помогает сильно.
--
Best regards,
Volkov mailto:vserge@altlinux.ru
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
2003-03-10 9:10 ` Arcady V. Ivanov
2003-03-10 10:02 ` Peter V. Saveliev
@ 2003-03-11 7:45 ` Arcady V. Ivanov
2003-03-11 12:56 ` Denis S. Filimonov
1 sibling, 1 reply; 17+ messages in thread
From: Arcady V. Ivanov @ 2003-03-11 7:45 UTC (permalink / raw)
To: sisyphus
Arcady V. Ivanov пишет:
> Peter V. Saveliev пишет:
>
>> On Mon, 10 Mar 2003 20:42:44 +1200
>> "Arcady V. Ivanov" <arc@help0.ru> wrote:
>>
>>
>>
>>> Переехал на Master 2.2 сразу на нескольких компах.
>>>
>>> Слетел LDAP через SSL.
>>>
>>> Работает только в режиме:
>>> ---------------------------------------
>>> #uri ldaps://serv.help0.ru
>>> #ssl on
>>> uri ldap://serv.help0.ru
>>> base dc=help0,dc=ru
>>> ldap_version 3
>>> rootbinddn cn=proxyuser,dc=help0,dc=ru
>>> ----------------------------------------
>>>
>>
>> Глупый вопрос, а serv.help0.ru резолвится на всех машинах-участниках
>> ldap-домена, включая сервер?
>>
Спасибо всем. Оказывается все работало, но!
KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают
юзера на комп, а
если регистрироваться login-ом на обычном /dev/ttyv1 - не пускает.
Вот выдержки из syslog.
1-й случай - ssh, все работает.
--------------------------------------------------------------------
Mar 11 19:38:00 zdo pam_tcb[2902]: sshd: Authentication passed for zdo
from (uid=0)
Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP server...
Mar 11 19:38:00 zdo sshd[2903]: Accepted password for zdo from
192.168.0.11 port 32833 ssh2
Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnected to LDAP server
after 1 attempt(s)
Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP server...
Mar 11 19:38:00 zdo pam_tcb[2911]: sshd: Session opened for zdo by (uid=500)
Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnected to LDAP server
after 1 attempt(s)
--------------------------------------------------------------------
2-й случай - login, не пускает.
--------------------------------------------------------------------
Mar 11 19:38:53 zdo pam_tcb[1996]: login: Authentication passed for zdo
from LOGIN(uid=0)
Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnecting to LDAP server...
Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnected to LDAP server
after 1 attempt(s)
Mar 11 19:38:58 zdo pam_tcb[2974]: login: Authentication passed for zdo
from LOGIN(uid=0)
Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnecting to LDAP server...
Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnected to LDAP server
after 1 attempt(s)
--------------------------------------------------------------------
Кто объяснит явление?
--
SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
2003-03-11 7:45 ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
@ 2003-03-11 12:56 ` Denis S. Filimonov
0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-11 12:56 UTC (permalink / raw)
To: sisyphus
11 Март 2003 13:45, Arcady V. Ivanov написал:
> Arcady V. Ivanov пишет:
> > Peter V. Saveliev пишет:
> >> On Mon, 10 Mar 2003 20:42:44 +1200
> >>
> >> "Arcady V. Ivanov" <arc@help0.ru> wrote:
> >>> Переехал на Master 2.2 сразу на нескольких компах.
> >>>
> >>> Слетел LDAP через SSL.
> >>>
> >>> Работает только в режиме:
> >>> ---------------------------------------
> >>> #uri ldaps://serv.help0.ru
> >>> #ssl on
> >>> uri ldap://serv.help0.ru
> >>> base dc=help0,dc=ru
> >>> ldap_version 3
> >>> rootbinddn cn=proxyuser,dc=help0,dc=ru
> >>> ----------------------------------------
> >>
> >> Глупый вопрос, а serv.help0.ru резолвится на всех
> >> машинах-участниках ldap-домена, включая сервер?
>
> Спасибо всем. Оказывается все работало, но!
>
> KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают
> юзера на комп, а
> если регистрироваться login-ом на обычном /dev/ttyv1 - не пускает.
>
> Вот выдержки из syslog.
> 1-й случай - ssh, все работает.
> --------------------------------------------------------------------
> Mar 11 19:38:00 zdo pam_tcb[2902]: sshd: Authentication passed for
> zdo from (uid=0)
> Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP
> server... Mar 11 19:38:00 zdo sshd[2903]: Accepted password for zdo
> from 192.168.0.11 port 32833 ssh2
> Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnected to LDAP server
> after 1 attempt(s)
> Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP
> server... Mar 11 19:38:00 zdo pam_tcb[2911]: sshd: Session opened for
> zdo by (uid=500) Mar 11 19:38:00 zdo sshd[2902]: nss_ldap:
> reconnected to LDAP server after 1 attempt(s)
> --------------------------------------------------------------------
>
> 2-й случай - login, не пускает.
> --------------------------------------------------------------------
> Mar 11 19:38:53 zdo pam_tcb[1996]: login: Authentication passed for
> zdo from LOGIN(uid=0)
> Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnecting to LDAP
> server... Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnected to
> LDAP server after 1 attempt(s)
> Mar 11 19:38:58 zdo pam_tcb[2974]: login: Authentication passed for
> zdo from LOGIN(uid=0)
> Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnecting to LDAP
> server... Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnected to
> LDAP server after 1 attempt(s)
> --------------------------------------------------------------------
>
> Кто объяснит явление?
Сравните содержимое файлов login, ssh, system-auth,
и system-auth-use_first_pass в каталоге/etc/pam.d/
скорее всего это обнаружит проблему. Если нет -- кидайте их сюда.
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
@ 2003-03-12 3:56 ` Denis S. Filimonov
0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-12 3:56 UTC (permalink / raw)
To: sisyphus
12 Март 2003 07:51, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают
> >>юзера на комп, а
> >>если регистрироваться login-ом на обычном /dev/ttyv1 - не пускает.
> >>
> >>Кто объяснит явление?
> >
> >Сравните содержимое файлов login, ssh, system-auth,
> >и system-auth-use_first_pass в каталоге/etc/pam.d/
> >скорее всего это обнаружит проблему. Если нет -- кидайте их сюда.
>
> Не разобрался. Вот файлы из pam.d:
>
Интересно, пароли-то берутся из tcb, pam_ldap там даже близко нет, а
имена юзеров/групп из LDAP (nss_ldap). Может между ними есть
несоответствия?
Еще в /etc/security/* могут быть какие-нибудь ограничения...
> "login"
> -----------------------------------------------------
> #%PAM-1.0
> auth required /lib/security/pam_securetty.so
> auth required /lib/security/pam_stack.so
> service=system-auth auth required
> /lib/security/pam_nologin.so
> auth optional /lib/security/pam_mail.so
> account required /lib/security/pam_stack.so
> service=system-auth password required
> /lib/security/pam_stack.so
> service=system-auth
> session required /lib/security/pam_stack.so
> service=system-auth session optional
> /lib/security/pam_lastlog.so nowtmp
> session optional /lib/security/pam_motd.so
> session optional /lib/security/pam_console.so
> -----------------------------------------------------
>
> "sshd"
> -----------------------------------------------------
> #%PAM-1.0
> auth required /lib/security/pam_userpass.so
> auth required /lib/security/pam_stack.so
> service=system-auth-use_first_pass
> auth required /lib/security/pam_nologin.so
> account required /lib/security/pam_stack.so
> service=system-auth password required
> /lib/security/pam_stack.so
> service=system-auth
> session required /lib/security/pam_stack.so
> service=system-auth
> -----------------------------------------------------
>
> "system-auth"
> -----------------------------------------------------
> #%PAM-1.0
> auth required /lib/security/pam_tcb.so shadow fork nullok
> account required /lib/security/pam_tcb.so shadow fork
> password required /lib/security/pam_passwdqc.so
> min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
> random=42 enforce=users retry=3
> password required /lib/security/pam_tcb.so use_authtok
> shadow fork prefix=$2a$ count=8 write_to=tcb
> session required /lib/security/pam_tcb.so
> session required /lib/security/pam_limits.so
> -----------------------------------------------------
>
> "system-auth-use_first_pass"
> -----------------------------------------------------
> #%PAM-1.0
> auth required /lib/security/pam_tcb.so shadow fork nullok
> use_first_pass password required
> /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8
> write_to=tcb
> -----------------------------------------------------
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
@ 2003-03-12 4:47 ` Denis S. Filimonov
0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-12 4:47 UTC (permalink / raw)
To: sisyphus
12 Март 2003 10:14, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >12 Март 2003 07:51, Arcady V. Ivanov написал:
> >>Denis S. Filimonov пишет:
> >>>>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают
> >>>>юзера на комп, а
> >>>>если регистрироваться login-ом на обычном /dev/ttyv1 - не
> >>>> пускает.
> >>>>
> >>>>Кто объяснит явление?
> >>>
> >>>Сравните содержимое файлов login, ssh, system-auth,
> >>>и system-auth-use_first_pass в каталоге/etc/pam.d/
> >>>скорее всего это обнаружит проблему. Если нет -- кидайте их сюда.
> >>
> >>Не разобрался. Вот файлы из pam.d:
> >
> >Интересно, пароли-то берутся из tcb, pam_ldap там даже близко нет, а
> >имена юзеров/групп из LDAP (nss_ldap). Может между ними есть
> >несоответствия?
> >Еще в /etc/security/* могут быть какие-нибудь ограничения...
>
> Тогда почему sshd и kdm пускают?
наверняка сказать трудно, а потенциальных причин может быть много...
например, в /etc/security/access.conf юзеру может быть запрещено
логиниться с локального терминала
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
@ 2003-03-12 5:13 ` Denis S. Filimonov
0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-12 5:13 UTC (permalink / raw)
To: sisyphus
12 Март 2003 10:58, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >12 Март 2003 10:14, Arcady V. Ivanov написал:
> >>Denis S. Filimonov пишет:
> >>>12 Март 2003 07:51, Arcady V. Ivanov написал:
> >>>>Denis S. Filimonov пишет:
> >>>>>>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают
> >>>>>>юзера на комп, а
> >>>>>>если регистрироваться login-ом на обычном /dev/ttyv1 - не
> >>>>>>пускает.
> >>>>>>
> >>>>>>Кто объяснит явление?
> >>>>>
> >>>>>Сравните содержимое файлов login, ssh, system-auth,
> >>>>>и system-auth-use_first_pass в каталоге/etc/pam.d/
> >>>>>скорее всего это обнаружит проблему. Если нет -- кидайте их
> >>>>> сюда.
> >>>>
> >>>>Не разобрался. Вот файлы из pam.d:
> >>>
> >>>Интересно, пароли-то берутся из tcb, pam_ldap там даже близко нет,
> >>> а имена юзеров/групп из LDAP (nss_ldap). Может между ними есть
> >>> несоответствия?
> >>>Еще в /etc/security/* могут быть какие-нибудь ограничения...
> >>
> >>Тогда почему sshd и kdm пускают?
> >
> >наверняка сказать трудно, а потенциальных причин может быть много...
> >например, в /etc/security/access.conf юзеру может быть запрещено
> >логиниться с локального терминала
>
> В access.conf есть только #
> Юзеры, которых я завожу через useradd, логинятся без проблем.
в смысле и через login тоже?
и что написано в /etc/nsswitch.conf?
дело в том, что useradd в Master 2.0 не добавлял пользователей в ldap,
и едва ли он изменился, т.е. вновь создаваемые юзеры живут целиком в
tcb.
может дело в этом...
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
@ 2003-03-12 8:55 ` Denis S. Filimonov
0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-12 8:55 UTC (permalink / raw)
To: sisyphus
12 Март 2003 12:39, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >12 Март 2003 10:58, Arcady V. Ivanov написал:
> >>Denis S. Filimonov пишет:
> >>>12 Март 2003 10:14, Arcady V. Ivanov написал:
> >>>>Denis S. Filimonov пишет:
> >>>>>12 Март 2003 07:51, Arcady V. Ivanov написал:
> >>>>>>Denis S. Filimonov пишет:
> >>>>>>>>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и
> >>>>>>>> пускают юзера на комп, а
> >>>>>>>>если регистрироваться login-ом на обычном /dev/ttyv1 - не
> >>>>>>>>пускает.
> >>>>>>>>
> >>>>>>>>Кто объяснит явление?
> >>>>>>>
> >>>>>>>Сравните содержимое файлов login, ssh, system-auth,
> >>>>>>>и system-auth-use_first_pass в каталоге/etc/pam.d/
> >>>>>>>скорее всего это обнаружит проблему. Если нет -- кидайте их
> >>>>>>>сюда.
> >>>>>>
> >>>>>>Не разобрался. Вот файлы из pam.d:
> >>>>>
> >>>>>Интересно, пароли-то берутся из tcb, pam_ldap там даже близко
> >>>>> нет, а имена юзеров/групп из LDAP (nss_ldap). Может между ними
> >>>>> есть несоответствия?
> >>>>>Еще в /etc/security/* могут быть какие-нибудь ограничения...
> >>>>
> >>>>Тогда почему sshd и kdm пускают?
> >>>
> >>>наверняка сказать трудно, а потенциальных причин может быть
> >>> много... например, в /etc/security/access.conf юзеру может быть
> >>> запрещено логиниться с локального терминала
> >>
> >>В access.conf есть только #
> >>Юзеры, которых я завожу через useradd, логинятся без проблем.
> >
> >в смысле и через login тоже?
>
> Именно через login.
>
> >и что написано в /etc/nsswitch.conf?
> >дело в том, что useradd в Master 2.0 не добавлял пользователей в
> > ldap, и едва ли он изменился, т.е. вновь создаваемые юзеры живут
> > целиком в tcb.
> >может дело в этом...
>
> Я и имею в виду, что для локальных юзеров регистрация
> естественно работает.
>
да, а для юзеров отсутствующих в tcb она работать не должна...
sshd наверно может обойтись ключом, а вот kdm... что-то тут не так :)
попробуйте в system-auth поставить
----------------------------------------------------------
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_tcb.so shadow fork
nullok
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_tcb.so shadow fork
password required /lib/security/pam_passwdqc.so
min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
random=42 enforce=users retry=3
password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
session optional /lib/security/pam_tcb.so
session required /lib/security/pam_limits.so
-----------------------------------------------------------
должен заработать login для пользователей в ldap, но passwd будет
пытаться сменить пароль в tcb
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
@ 2003-03-13 5:56 ` Denis S. Filimonov
2003-03-13 6:26 ` vserge
0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-13 5:56 UTC (permalink / raw)
To: sisyphus
13 Март 2003 03:03, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >>Я и имею в виду, что для локальных юзеров регистрация
> >>естественно работает.
> >
> >да, а для юзеров отсутствующих в tcb она работать не должна...
> >sshd наверно может обойтись ключом, а вот kdm... что-то тут не так
> > :) попробуйте в system-auth поставить
> >----------------------------------------------------------
> >auth sufficient /lib/security/pam_ldap.so
> >auth required /lib/security/pam_tcb.so shadow fork
> >nullok
> >account sufficient /lib/security/pam_ldap.so
> >account required /lib/security/pam_tcb.so shadow fork
> >password required /lib/security/pam_passwdqc.so
> >min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
> >random=42 enforce=users retry=3
> >password required /lib/security/pam_tcb.so use_authtok
> >shadow fork prefix=$2a$ count=8 write_to=tcb
> >session optional /lib/security/pam_tcb.so
> >session required /lib/security/pam_limits.so
> >-----------------------------------------------------------
> >должен заработать login для пользователей в ldap, но passwd будет
> >пытаться сменить пароль в tcb
> >_______________________________________________
>
> Спасибо, заработало, только теперь для локальных юзеров
> 2 раза пароль ввести просит. Как я понимаю - 1 раз пытается
> выцепить из LDAP, 2-й из TCB.
да, точно, забыл.
надо вторую строку исправить на:
auth required /lib/security/pam_tcb.so shadow fork
nullok use_first_pass
можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять
в tcb, а потом в ldap
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
2003-03-13 5:56 ` Denis S. Filimonov
@ 2003-03-13 6:26 ` vserge
2003-03-13 6:41 ` Alexey I. Froloff
0 siblings, 1 reply; 17+ messages in thread
From: vserge @ 2003-03-13 6:26 UTC (permalink / raw)
To: sisyphus
Добрый день
Вы написали "Denis S. Filimonov" <den@academ.org> Thu, 13 Mar 2003 11:56:21
+0600:
> 13 Март 2003 03:03, Arcady V. Ivanov написал:
> > Denis S. Filimonov пишет:
> > >>Я и имею в виду, что для локальных юзеров регистрация
> > >>естественно работает.
> > >
> > >да, а для юзеров отсутствующих в tcb она работать не должна...
> > >sshd наверно может обойтись ключом, а вот kdm... что-то тут не так
> > > :) попробуйте в system-auth поставить
> > >----------------------------------------------------------
> > >auth sufficient /lib/security/pam_ldap.so
> > >auth required /lib/security/pam_tcb.so shadow fork
> > >nullok
> > >account sufficient /lib/security/pam_ldap.so
> > >account required /lib/security/pam_tcb.so shadow fork
> > >password required /lib/security/pam_passwdqc.so
> > >min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
> > >random=42 enforce=users retry=3
> > >password required /lib/security/pam_tcb.so use_authtok
> > >shadow fork prefix=$2a$ count=8 write_to=tcb
> > >session optional /lib/security/pam_tcb.so
> > >session required /lib/security/pam_limits.so
> > >-----------------------------------------------------------
> > >должен заработать login для пользователей в ldap, но passwd будет
> > >пытаться сменить пароль в tcb
> > >_______________________________________________
> >
> > Спасибо, заработало, только теперь для локальных юзеров
> > 2 раза пароль ввести просит. Как я понимаю - 1 раз пытается
> > выцепить из LDAP, 2-й из TCB.
> да, точно, забыл.
> надо вторую строку исправить на:
> auth required /lib/security/pam_tcb.so shadow fork
> nullok use_first_pass
>
> можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять
> в tcb, а потом в ldap
> _______________________________________________
Динис отправите пожалуй ста future request в BTS на пакет pam_ldap
я вложу тогда ваши рекомендации в пакет !
With best wishes, Volkov Serge
Network Administrator/Security Administrator
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
2003-03-13 6:26 ` vserge
@ 2003-03-13 6:41 ` Alexey I. Froloff
2003-03-13 7:04 ` vserge
0 siblings, 1 reply; 17+ messages in thread
From: Alexey I. Froloff @ 2003-03-13 6:41 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 865 bytes --]
On Thu, Mar 13, 2003 at 09:26:24AM +0300, vserge wrote:
> > можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять
> > в tcb, а потом в ldap
> > _______________________________________________
> Динис отправите пожалуй ста future request в BTS на пакет pam_ldap
> я вложу тогда ваши рекомендации в пакет !
В виде /etc/pam.d/system-auth-ldap? Кстати, неплохо было бы на
это дело альтернативы повесить.
И не забудьте про pam_mkhomedir (по аналогии с
system-auth-winbind, только umask должен быть не 022, а 077).
P.S. У меня дома валяется 100% рабочая конфигурация, даже passwd
работате кажется. Всё забываю на работу принести :-(
--
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
------------------------------------------
Inform-Mobil, Ltd. System Adminitrator
http://www.inform-mobil.ru/
Tel: +7(095)504-4709, Fax: +7(095)513-1006
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
2003-03-13 6:41 ` Alexey I. Froloff
@ 2003-03-13 7:04 ` vserge
2003-03-13 7:20 ` Alexey I. Froloff
0 siblings, 1 reply; 17+ messages in thread
From: vserge @ 2003-03-13 7:04 UTC (permalink / raw)
To: sisyphus
Добрый день
Запости пожалуйста в BTS или перешли мне личным мылом!!!
Так как пожелания, замечания и критика очень даже приветствуются во всем где
есть слово LDAP :)))
P.S. Просто мне хочется чтобы у нас следующий мастер умел сразу запускаться с
LDAP :))
P.S. Гы Как глобально :()
Вы написали "Alexey I. Froloff" <raorn@immo.ru> Thu, 13 Mar 2003 09:41:17
+0300:
> On Thu, Mar 13, 2003 at 09:26:24AM +0300, vserge wrote:
> > > можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять
> > >
> > > в tcb, а потом в ldap
> > > _______________________________________________
> > Динис отправите пожалуй ста future request в BTS на пакет pam_ldap
> > я вложу тогда ваши рекомендации в пакет !
> В виде /etc/pam.d/system-auth-ldap? Кстати, неплохо было бы на
> это дело альтернативы повесить.
>
> И не забудьте про pam_mkhomedir (по аналогии с
> system-auth-winbind, только umask должен быть не 022, а 077).
>
> P.S. У меня дома валяется 100% рабочая конфигурация, даже passwd
> работате кажется. Всё забываю на работу принести :-(
>
--
With best wishes, Volkov Serge
Network Administrator/Security Administrator
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
2003-03-13 7:04 ` vserge
@ 2003-03-13 7:20 ` Alexey I. Froloff
2003-03-13 7:54 ` vserge
0 siblings, 1 reply; 17+ messages in thread
From: Alexey I. Froloff @ 2003-03-13 7:20 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 470 bytes --]
On Thu, Mar 13, 2003 at 10:04:29AM +0300, vserge wrote:
> Запости пожалуйста в BTS или перешли мне личным мылом!!!
OK. Если не забуду. Самое смешное, что мне не удалось на работе
настроить то же самое ;-) То авторизовать не хочет, то passwd
отваливается.
--
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
------------------------------------------
Inform-Mobil, Ltd. System Adminitrator
http://www.inform-mobil.ru/
Tel: +7(095)504-4709, Fax: +7(095)513-1006
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP
2003-03-13 7:20 ` Alexey I. Froloff
@ 2003-03-13 7:54 ` vserge
0 siblings, 0 replies; 17+ messages in thread
From: vserge @ 2003-03-13 7:54 UTC (permalink / raw)
To: sisyphus
Добрый день
Вы написали "Alexey I. Froloff" <raorn@immo.ru> Thu, 13 Mar 2003 10:20:34
+0300:
> On Thu, Mar 13, 2003 at 10:04:29AM +0300, vserge wrote:
> > Запости пожалуйста в BTS или перешли мне личным мылом!!!
> OK. Если не забуду. Самое смешное, что мне не удалось на работе
> настроить то же самое ;-) То авторизовать не хочет, то passwd
> отваливается.
>
Пожалуйста не забудь
внедрим в пакет и будем пинать!!! (меня наверное) Гы:)
--
With best wishes, Volkov Serge
Network Administrator/Security Administrator
^ permalink raw reply [flat|nested] 17+ messages in thread
end of thread, other threads:[~2003-03-13 7:54 UTC | newest]
Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-03-10 8:42 [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
2003-03-10 8:48 ` Peter V. Saveliev
2003-03-10 9:10 ` Arcady V. Ivanov
2003-03-10 10:02 ` Peter V. Saveliev
2003-03-10 19:21 ` Re[2]: [sisyphus] Master 2.2 É LDAP Volkov Serge
2003-03-11 7:45 ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
2003-03-11 12:56 ` Denis S. Filimonov
2003-03-12 3:56 ` Denis S. Filimonov
2003-03-12 4:47 ` Denis S. Filimonov
2003-03-12 5:13 ` Denis S. Filimonov
2003-03-12 8:55 ` Denis S. Filimonov
2003-03-13 5:56 ` Denis S. Filimonov
2003-03-13 6:26 ` vserge
2003-03-13 6:41 ` Alexey I. Froloff
2003-03-13 7:04 ` vserge
2003-03-13 7:20 ` Alexey I. Froloff
2003-03-13 7:54 ` vserge
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git