ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed
* [sisyphus] Master 2.2 и LDAP
@ 2003-03-10  8:42 Arcady V. Ivanov
  2003-03-10  8:48 ` Peter V. Saveliev
  0 siblings, 1 reply; 17+ messages in thread
From: Arcady V. Ivanov @ 2003-03-10  8:42 UTC (permalink / raw)
  To: sisyphus

Переехал на Master 2.2 сразу на нескольких компах.

Слетел LDAP через SSL.

Работает только в режиме:
---------------------------------------
#uri ldaps://serv.help0.ru
#ssl on
uri ldap://serv.help0.ru
base dc=help0,dc=ru
ldap_version 3
rootbinddn cn=proxyuser,dc=help0,dc=ru
----------------------------------------

Как ни крутил, не работает гад.
Черните подсказку или просто скажите,
что у вас все работает между компами на Master 2.2.

Тогда буду искать глупые ошибки.

-- 
SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru





^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  2003-03-10  8:42 [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
@ 2003-03-10  8:48 ` Peter V. Saveliev
  2003-03-10  9:10   ` Arcady V. Ivanov
  0 siblings, 1 reply; 17+ messages in thread
From: Peter V. Saveliev @ 2003-03-10  8:48 UTC (permalink / raw)
  To: sisyphus

On Mon, 10 Mar 2003 20:42:44 +1200
"Arcady V. Ivanov" <arc@help0.ru> wrote:

> Переехал на Master 2.2 сразу на нескольких компах.
> 
> Слетел LDAP через SSL.
> 
> Работает только в режиме:
> ---------------------------------------
> #uri ldaps://serv.help0.ru
> #ssl on
> uri ldap://serv.help0.ru
> base dc=help0,dc=ru
> ldap_version 3
> rootbinddn cn=proxyuser,dc=help0,dc=ru
> ----------------------------------------
> 
> Как ни крутил, не работает гад.
> Черните подсказку или просто скажите,
> что у вас все работает между компами на Master 2.2.
> 
> Тогда буду искать глупые ошибки.
> 

Глупый вопрос, а serv.help0.ru резолвится на всех машинах-участниках
ldap-домена, включая сервер?

То есть, не на Мастере, но на Сизифе вплоть до недели назад (до сейчас
еще не обновлен) все работает без перебоев.

-- 
Sincerely, Peter V. Saveliev

E-mail: peet@eltel.net
Jabber: peet@jabber.ru



^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  2003-03-10  8:48 ` Peter V. Saveliev
@ 2003-03-10  9:10   ` Arcady V. Ivanov
  2003-03-10 10:02     ` Peter V. Saveliev
  2003-03-11  7:45     ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
  0 siblings, 2 replies; 17+ messages in thread
From: Arcady V. Ivanov @ 2003-03-10  9:10 UTC (permalink / raw)
  To: sisyphus

Peter V. Saveliev пишет:

>On Mon, 10 Mar 2003 20:42:44 +1200
>"Arcady V. Ivanov" <arc@help0.ru> wrote:
>
>  
>
>>Переехал на Master 2.2 сразу на нескольких компах.
>>
>>Слетел LDAP через SSL.
>>
>>Работает только в режиме:
>>---------------------------------------
>>#uri ldaps://serv.help0.ru
>>#ssl on
>>uri ldap://serv.help0.ru
>>base dc=help0,dc=ru
>>ldap_version 3
>>rootbinddn cn=proxyuser,dc=help0,dc=ru
>>----------------------------------------
>>
>>Как ни крутил, не работает гад.
>>Черните подсказку или просто скажите,
>>что у вас все работает между компами на Master 2.2.
>>
>>Тогда буду искать глупые ошибки.
>>
>>    
>>
>
>Глупый вопрос, а serv.help0.ru резолвится на всех машинах-участниках
>ldap-домена, включая сервер?
>
Если бы не резолвился, то и без SSL бы не работал.

>То есть, не на Мастере, но на Сизифе вплоть до недели назад (до сейчас
>еще не обновлен) все работает без перебоев.
>  
>
Спасибо. Это обнадеживает.

-- 
SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru





^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  2003-03-10  9:10   ` Arcady V. Ivanov
@ 2003-03-10 10:02     ` Peter V. Saveliev
  2003-03-10 19:21       ` Re[2]: [sisyphus] Master 2.2 É LDAP Volkov Serge
  2003-03-11  7:45     ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
  1 sibling, 1 reply; 17+ messages in thread
From: Peter V. Saveliev @ 2003-03-10 10:02 UTC (permalink / raw)
  To: sisyphus

On Mon, 10 Mar 2003 21:10:31 +1200
"Arcady V. Ivanov" <arc@help0.ru> wrote:

<skip />
> Если бы не резолвился, то и без SSL бы не работал.
<skip />

У меня переставал работать SSL, когда имя, на которое сделан сертификат,
ldap.main, не резолвилось на самом сервере, или как-то так. В общем,
когда то, что он срашивал, пользуясь /etc/ldap.conf, не сходилось с тем,
что выдавал сервер.

Это довольно легко отслеживается через дебажный вывод ldapsearch, он и
ssl-диалог выводит, что помогает сильно.

-- 
Sincerely, Peter V. Saveliev

E-mail: peet@eltel.net
Jabber: peet@jabber.ru



^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re[2]: [sisyphus] Master 2.2 É LDAP
  2003-03-10 10:02     ` Peter V. Saveliev
@ 2003-03-10 19:21       ` Volkov Serge
  0 siblings, 0 replies; 17+ messages in thread
From: Volkov Serge @ 2003-03-10 19:21 UTC (permalink / raw)
  To: Peter V. Saveliev

Hello Peter,

Monday, March 10, 2003, 1:02:28 PM, you wrote:

PVS> On Mon, 10 Mar 2003 21:10:31 +1200
PVS> "Arcady V. Ivanov" <arc@help0.ru> wrote:

PVS> <skip />
>> Если бы не резолвился, то и без SSL бы не работал.
PVS> <skip />

PVS> У меня переставал работать SSL, когда имя, на которое сделан сертификат,
PVS> ldap.main, не резолвилось на самом сервере, или как-то так. В общем,
PVS> когда то, что он срашивал, пользуясь /etc/ldap.conf, не сходилось с тем,
PVS> что выдавал сервер.
Имеется в виду /etc/openldap/ldap.conf
что говорит лог LDAP сервера?


PVS> Это довольно легко отслеживается через дебажный вывод ldapsearch, он и
PVS> ssl-диалог выводит, что помогает сильно.




-- 
Best regards,
 Volkov                            mailto:vserge@altlinux.ru




^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  2003-03-10  9:10   ` Arcady V. Ivanov
  2003-03-10 10:02     ` Peter V. Saveliev
@ 2003-03-11  7:45     ` Arcady V. Ivanov
  2003-03-11 12:56       ` Denis S. Filimonov
  1 sibling, 1 reply; 17+ messages in thread
From: Arcady V. Ivanov @ 2003-03-11  7:45 UTC (permalink / raw)
  To: sisyphus

Arcady V. Ivanov пишет:

> Peter V. Saveliev пишет:
>
>> On Mon, 10 Mar 2003 20:42:44 +1200
>> "Arcady V. Ivanov" <arc@help0.ru> wrote:
>>
>>  
>>
>>> Переехал на Master 2.2 сразу на нескольких компах.
>>>
>>> Слетел LDAP через SSL.
>>>
>>> Работает только в режиме:
>>> ---------------------------------------
>>> #uri ldaps://serv.help0.ru
>>> #ssl on
>>> uri ldap://serv.help0.ru
>>> base dc=help0,dc=ru
>>> ldap_version 3
>>> rootbinddn cn=proxyuser,dc=help0,dc=ru
>>> ----------------------------------------
>>>
>>
>> Глупый вопрос, а serv.help0.ru резолвится на всех машинах-участниках
>> ldap-домена, включая сервер?
>>
Спасибо всем. Оказывается все работало, но!

KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают
юзера на комп, а
если регистрироваться login-ом на обычном /dev/ttyv1 - не пускает.

Вот выдержки из syslog.
1-й случай - ssh, все работает.
--------------------------------------------------------------------
Mar 11 19:38:00 zdo pam_tcb[2902]: sshd: Authentication passed for zdo 
from (uid=0)
Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP server...
Mar 11 19:38:00 zdo sshd[2903]: Accepted password for zdo from 
192.168.0.11 port 32833 ssh2
Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnected to LDAP server 
after 1 attempt(s)
Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP server...
Mar 11 19:38:00 zdo pam_tcb[2911]: sshd: Session opened for zdo by (uid=500)
Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnected to LDAP server 
after 1 attempt(s)
--------------------------------------------------------------------

2-й случай - login, не пускает.
--------------------------------------------------------------------
Mar 11 19:38:53 zdo pam_tcb[1996]: login: Authentication passed for zdo 
from LOGIN(uid=0)
Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnecting to LDAP server...
Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnected to LDAP server 
after 1 attempt(s)
Mar 11 19:38:58 zdo pam_tcb[2974]: login: Authentication passed for zdo 
from LOGIN(uid=0)
Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnecting to LDAP server...
Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnected to LDAP server 
after 1 attempt(s)
--------------------------------------------------------------------

Кто объяснит явление?

-- 
SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru





^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  2003-03-11  7:45     ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
@ 2003-03-11 12:56       ` Denis S. Filimonov
    0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-11 12:56 UTC (permalink / raw)
  To: sisyphus

11 Март 2003 13:45, Arcady V. Ivanov написал:
> Arcady V. Ivanov пишет:
> > Peter V. Saveliev пишет:
> >> On Mon, 10 Mar 2003 20:42:44 +1200
> >>
> >> "Arcady V. Ivanov" <arc@help0.ru> wrote:
> >>> Переехал на Master 2.2 сразу на нескольких компах.
> >>>
> >>> Слетел LDAP через SSL.
> >>>
> >>> Работает только в режиме:
> >>> ---------------------------------------
> >>> #uri ldaps://serv.help0.ru
> >>> #ssl on
> >>> uri ldap://serv.help0.ru
> >>> base dc=help0,dc=ru
> >>> ldap_version 3
> >>> rootbinddn cn=proxyuser,dc=help0,dc=ru
> >>> ----------------------------------------
> >>
> >> Глупый вопрос, а serv.help0.ru резолвится на всех
> >> машинах-участниках ldap-домена, включая сервер?
>
> Спасибо всем. Оказывается все работало, но!
>
> KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают
> юзера на комп, а
> если регистрироваться login-ом на обычном /dev/ttyv1 - не пускает.
>
> Вот выдержки из syslog.
> 1-й случай - ssh, все работает.
> --------------------------------------------------------------------
> Mar 11 19:38:00 zdo pam_tcb[2902]: sshd: Authentication passed for
> zdo from (uid=0)
> Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP
> server... Mar 11 19:38:00 zdo sshd[2903]: Accepted password for zdo
> from 192.168.0.11 port 32833 ssh2
> Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnected to LDAP server
> after 1 attempt(s)
> Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP
> server... Mar 11 19:38:00 zdo pam_tcb[2911]: sshd: Session opened for
> zdo by (uid=500) Mar 11 19:38:00 zdo sshd[2902]: nss_ldap:
> reconnected to LDAP server after 1 attempt(s)
> --------------------------------------------------------------------
>
> 2-й случай - login, не пускает.
> --------------------------------------------------------------------
> Mar 11 19:38:53 zdo pam_tcb[1996]: login: Authentication passed for
> zdo from LOGIN(uid=0)
> Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnecting to LDAP
> server... Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnected to
> LDAP server after 1 attempt(s)
> Mar 11 19:38:58 zdo pam_tcb[2974]: login: Authentication passed for
> zdo from LOGIN(uid=0)
> Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnecting to LDAP
> server... Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnected to
> LDAP server after 1 attempt(s)
> --------------------------------------------------------------------
>
> Кто объяснит явление?
Сравните содержимое файлов login, ssh, system-auth,
и system-auth-use_first_pass в каталоге/etc/pam.d/
скорее всего это обнаружит проблему. Если нет -- кидайте их сюда. 



^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  @ 2003-03-12  3:56           ` Denis S. Filimonov
    0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-12  3:56 UTC (permalink / raw)
  To: sisyphus

12 Март 2003 07:51, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают
> >>юзера на комп, а
> >>если регистрироваться login-ом на обычном /dev/ttyv1 - не пускает.
> >>
> >>Кто объяснит явление?
> >
> >Сравните содержимое файлов login, ssh, system-auth,
> >и system-auth-use_first_pass в каталоге/etc/pam.d/
> >скорее всего это обнаружит проблему. Если нет -- кидайте их сюда.
>
> Не разобрался. Вот файлы из pam.d:
>
Интересно, пароли-то берутся из tcb, pam_ldap там даже близко нет, а 
имена юзеров/групп из LDAP (nss_ldap). Может между ними есть 
несоответствия?
Еще в /etc/security/* могут быть какие-нибудь ограничения...

> "login"
> -----------------------------------------------------
> #%PAM-1.0
> auth    required        /lib/security/pam_securetty.so
> auth    required        /lib/security/pam_stack.so
> service=system-auth auth    required       
> /lib/security/pam_nologin.so
> auth    optional        /lib/security/pam_mail.so
> account required        /lib/security/pam_stack.so
> service=system-auth password        required       
> /lib/security/pam_stack.so
> service=system-auth
> session required        /lib/security/pam_stack.so
> service=system-auth session optional       
> /lib/security/pam_lastlog.so nowtmp
> session optional        /lib/security/pam_motd.so
> session optional        /lib/security/pam_console.so
> -----------------------------------------------------
>
> "sshd"
> -----------------------------------------------------
> #%PAM-1.0
> auth    required        /lib/security/pam_userpass.so
> auth    required        /lib/security/pam_stack.so
> service=system-auth-use_first_pass
> auth    required        /lib/security/pam_nologin.so
> account required        /lib/security/pam_stack.so
> service=system-auth password        required       
> /lib/security/pam_stack.so
> service=system-auth
> session required        /lib/security/pam_stack.so
> service=system-auth
> -----------------------------------------------------
>
> "system-auth"
> -----------------------------------------------------
> #%PAM-1.0
> auth    required        /lib/security/pam_tcb.so shadow fork nullok
> account required        /lib/security/pam_tcb.so shadow fork
> password        required        /lib/security/pam_passwdqc.so
> min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
> random=42 enforce=users retry=3
> password        required        /lib/security/pam_tcb.so use_authtok
> shadow fork prefix=$2a$ count=8 write_to=tcb
> session required        /lib/security/pam_tcb.so
> session required        /lib/security/pam_limits.so
> -----------------------------------------------------
>
> "system-auth-use_first_pass"
> -----------------------------------------------------
> #%PAM-1.0
> auth    required        /lib/security/pam_tcb.so shadow fork nullok
> use_first_pass password        required       
> /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8
> write_to=tcb
> -----------------------------------------------------



^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  @ 2003-03-12  4:47               ` Denis S. Filimonov
    0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-12  4:47 UTC (permalink / raw)
  To: sisyphus

12 Март 2003 10:14, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >12 Март 2003 07:51, Arcady V. Ivanov написал:
> >>Denis S. Filimonov пишет:
> >>>>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают
> >>>>юзера на комп, а
> >>>>если регистрироваться login-ом на обычном /dev/ttyv1 - не
> >>>> пускает.
> >>>>
> >>>>Кто объяснит явление?
> >>>
> >>>Сравните содержимое файлов login, ssh, system-auth,
> >>>и system-auth-use_first_pass в каталоге/etc/pam.d/
> >>>скорее всего это обнаружит проблему. Если нет -- кидайте их сюда.
> >>
> >>Не разобрался. Вот файлы из pam.d:
> >
> >Интересно, пароли-то берутся из tcb, pam_ldap там даже близко нет, а
> >имена юзеров/групп из LDAP (nss_ldap). Может между ними есть
> >несоответствия?
> >Еще в /etc/security/* могут быть какие-нибудь ограничения...
>
> Тогда почему sshd и kdm пускают?
наверняка сказать трудно, а потенциальных причин может быть много...
например, в /etc/security/access.conf юзеру может быть запрещено 
логиниться с локального терминала



^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  @ 2003-03-12  5:13                   ` Denis S. Filimonov
    0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-12  5:13 UTC (permalink / raw)
  To: sisyphus

12 Март 2003 10:58, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >12 Март 2003 10:14, Arcady V. Ivanov написал:
> >>Denis S. Filimonov пишет:
> >>>12 Март 2003 07:51, Arcady V. Ivanov написал:
> >>>>Denis S. Filimonov пишет:
> >>>>>>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают
> >>>>>>юзера на комп, а
> >>>>>>если регистрироваться login-ом на обычном /dev/ttyv1 - не
> >>>>>>пускает.
> >>>>>>
> >>>>>>Кто объяснит явление?
> >>>>>
> >>>>>Сравните содержимое файлов login, ssh, system-auth,
> >>>>>и system-auth-use_first_pass в каталоге/etc/pam.d/
> >>>>>скорее всего это обнаружит проблему. Если нет -- кидайте их
> >>>>> сюда.
> >>>>
> >>>>Не разобрался. Вот файлы из pam.d:
> >>>
> >>>Интересно, пароли-то берутся из tcb, pam_ldap там даже близко нет,
> >>> а имена юзеров/групп из LDAP (nss_ldap). Может между ними есть
> >>> несоответствия?
> >>>Еще в /etc/security/* могут быть какие-нибудь ограничения...
> >>
> >>Тогда почему sshd и kdm пускают?
> >
> >наверняка сказать трудно, а потенциальных причин может быть много...
> >например, в /etc/security/access.conf юзеру может быть запрещено
> >логиниться с локального терминала
>
> В access.conf есть только #
> Юзеры, которых я завожу через useradd, логинятся без проблем.
в смысле и через login тоже?
и что написано в /etc/nsswitch.conf?
дело в том, что useradd в Master 2.0 не добавлял пользователей в ldap, 
и едва ли он изменился, т.е. вновь создаваемые юзеры живут целиком в 
tcb.
может дело в этом...


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  @ 2003-03-12  8:55                       ` Denis S. Filimonov
    0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-12  8:55 UTC (permalink / raw)
  To: sisyphus

12 Март 2003 12:39, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >12 Март 2003 10:58, Arcady V. Ivanov написал:
> >>Denis S. Filimonov пишет:
> >>>12 Март 2003 10:14, Arcady V. Ivanov написал:
> >>>>Denis S. Filimonov пишет:
> >>>>>12 Март 2003 07:51, Arcady V. Ivanov написал:
> >>>>>>Denis S. Filimonov пишет:
> >>>>>>>>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и
> >>>>>>>> пускают юзера на комп, а
> >>>>>>>>если регистрироваться login-ом на обычном /dev/ttyv1 - не
> >>>>>>>>пускает.
> >>>>>>>>
> >>>>>>>>Кто объяснит явление?
> >>>>>>>
> >>>>>>>Сравните содержимое файлов login, ssh, system-auth,
> >>>>>>>и system-auth-use_first_pass в каталоге/etc/pam.d/
> >>>>>>>скорее всего это обнаружит проблему. Если нет -- кидайте их
> >>>>>>>сюда.
> >>>>>>
> >>>>>>Не разобрался. Вот файлы из pam.d:
> >>>>>
> >>>>>Интересно, пароли-то берутся из tcb, pam_ldap там даже близко
> >>>>> нет, а имена юзеров/групп из LDAP (nss_ldap). Может между ними
> >>>>> есть несоответствия?
> >>>>>Еще в /etc/security/* могут быть какие-нибудь ограничения...
> >>>>
> >>>>Тогда почему sshd и kdm пускают?
> >>>
> >>>наверняка сказать трудно, а потенциальных причин может быть
> >>> много... например, в /etc/security/access.conf юзеру может быть
> >>> запрещено логиниться с локального терминала
> >>
> >>В access.conf есть только #
> >>Юзеры, которых я завожу через useradd, логинятся без проблем.
> >
> >в смысле и через login тоже?
>
> Именно через login.
>
> >и что написано в /etc/nsswitch.conf?
> >дело в том, что useradd в Master 2.0 не добавлял пользователей в
> > ldap, и едва ли он изменился, т.е. вновь создаваемые юзеры живут
> > целиком в tcb.
> >может дело в этом...
>
> Я  и имею в виду, что для локальных юзеров регистрация
> естественно работает.
>
да, а для юзеров отсутствующих в tcb она работать не должна...
sshd наверно может обойтись ключом, а вот kdm... что-то тут не так :)
попробуйте в system-auth поставить 
----------------------------------------------------------
auth           sufficient      /lib/security/pam_ldap.so
auth           required        /lib/security/pam_tcb.so shadow fork 
nullok
account        sufficient      /lib/security/pam_ldap.so
account        required        /lib/security/pam_tcb.so shadow fork
password        required        /lib/security/pam_passwdqc.so 
min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny 
random=42 enforce=users retry=3
password        required        /lib/security/pam_tcb.so use_authtok 
shadow fork prefix=$2a$ count=8 write_to=tcb
session         optional        /lib/security/pam_tcb.so
session         required        /lib/security/pam_limits.so
-----------------------------------------------------------
должен заработать login для пользователей в ldap, но passwd будет 
пытаться сменить пароль в tcb


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  @ 2003-03-13  5:56                           ` Denis S. Filimonov
  2003-03-13  6:26                             ` vserge
  0 siblings, 1 reply; 17+ messages in thread
From: Denis S. Filimonov @ 2003-03-13  5:56 UTC (permalink / raw)
  To: sisyphus

13 Март 2003 03:03, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >>Я  и имею в виду, что для локальных юзеров регистрация
> >>естественно работает.
> >
> >да, а для юзеров отсутствующих в tcb она работать не должна...
> >sshd наверно может обойтись ключом, а вот kdm... что-то тут не так
> > :) попробуйте в system-auth поставить
> >----------------------------------------------------------
> >auth           sufficient      /lib/security/pam_ldap.so
> >auth           required        /lib/security/pam_tcb.so shadow fork
> >nullok
> >account        sufficient      /lib/security/pam_ldap.so
> >account        required        /lib/security/pam_tcb.so shadow fork
> >password        required        /lib/security/pam_passwdqc.so
> >min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
> >random=42 enforce=users retry=3
> >password        required        /lib/security/pam_tcb.so use_authtok
> >shadow fork prefix=$2a$ count=8 write_to=tcb
> >session         optional        /lib/security/pam_tcb.so
> >session         required        /lib/security/pam_limits.so
> >-----------------------------------------------------------
> >должен заработать login для пользователей в ldap, но passwd будет
> >пытаться сменить пароль в tcb
> >_______________________________________________
>
> Спасибо, заработало, только теперь для локальных юзеров
> 2 раза пароль ввести просит. Как я понимаю - 1 раз пытается
> выцепить из LDAP, 2-й из TCB.
да, точно, забыл.
надо вторую строку исправить на:
auth           required        /lib/security/pam_tcb.so shadow fork 
nullok use_first_pass

можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять 
в tcb, а потом в ldap


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  2003-03-13  5:56                           ` Denis S. Filimonov
@ 2003-03-13  6:26                             ` vserge
  2003-03-13  6:41                               ` Alexey I. Froloff
  0 siblings, 1 reply; 17+ messages in thread
From: vserge @ 2003-03-13  6:26 UTC (permalink / raw)
  To: sisyphus

Добрый день

Вы написали "Denis S. Filimonov" <den@academ.org> Thu, 13 Mar 2003 11:56:21
+0600:

> 13 Март 2003 03:03, Arcady V. Ivanov написал:
> > Denis S. Filimonov пишет:
> > >>Я  и имею в виду, что для локальных юзеров регистрация
> > >>естественно работает.
> > >
> > >да, а для юзеров отсутствующих в tcb она работать не должна...
> > >sshd наверно может обойтись ключом, а вот kdm... что-то тут не так
> > > :) попробуйте в system-auth поставить
> > >----------------------------------------------------------
> > >auth           sufficient      /lib/security/pam_ldap.so
> > >auth           required        /lib/security/pam_tcb.so shadow fork
> > >nullok
> > >account        sufficient      /lib/security/pam_ldap.so
> > >account        required        /lib/security/pam_tcb.so shadow fork
> > >password        required        /lib/security/pam_passwdqc.so
> > >min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
> > >random=42 enforce=users retry=3
> > >password        required        /lib/security/pam_tcb.so use_authtok
> > >shadow fork prefix=$2a$ count=8 write_to=tcb
> > >session         optional        /lib/security/pam_tcb.so
> > >session         required        /lib/security/pam_limits.so
> > >-----------------------------------------------------------
> > >должен заработать login для пользователей в ldap, но passwd будет
> > >пытаться сменить пароль в tcb
> > >_______________________________________________
> >
> > Спасибо, заработало, только теперь для локальных юзеров
> > 2 раза пароль ввести просит. Как я понимаю - 1 раз пытается
> > выцепить из LDAP, 2-й из TCB.
> да, точно, забыл.
> надо вторую строку исправить на:
> auth           required        /lib/security/pam_tcb.so shadow fork 
> nullok use_first_pass
> 
> можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять 
> в tcb, а потом в ldap
> _______________________________________________

Динис отправите пожалуй ста future request в BTS на пакет pam_ldap 

я вложу тогда ваши рекомендации в пакет !


With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  2003-03-13  6:26                             ` vserge
@ 2003-03-13  6:41                               ` Alexey I. Froloff
  2003-03-13  7:04                                 ` vserge
  0 siblings, 1 reply; 17+ messages in thread
From: Alexey I. Froloff @ 2003-03-13  6:41 UTC (permalink / raw)
  To: sisyphus

[-- Attachment #1: Type: text/plain, Size: 865 bytes --]

On Thu, Mar 13, 2003 at 09:26:24AM +0300, vserge wrote:
> > можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять 
> > в tcb, а потом в ldap
> > _______________________________________________
> Динис отправите пожалуй ста future request в BTS на пакет pam_ldap 
> я вложу тогда ваши рекомендации в пакет !
В виде /etc/pam.d/system-auth-ldap? Кстати, неплохо было бы на
это дело альтернативы повесить.

И не забудьте про pam_mkhomedir (по аналогии с
system-auth-winbind, только umask должен быть не 022, а 077).

P.S. У меня дома валяется 100% рабочая конфигурация, даже passwd
работате кажется. Всё забываю на работу принести :-(

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
------------------------------------------
  Inform-Mobil, Ltd. System Adminitrator
       http://www.inform-mobil.ru/
Tel: +7(095)504-4709, Fax: +7(095)513-1006

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  2003-03-13  6:41                               ` Alexey I. Froloff
@ 2003-03-13  7:04                                 ` vserge
  2003-03-13  7:20                                   ` Alexey I. Froloff
  0 siblings, 1 reply; 17+ messages in thread
From: vserge @ 2003-03-13  7:04 UTC (permalink / raw)
  To: sisyphus

Добрый день

Запости пожалуйста в BTS или перешли мне личным мылом!!!

Так как пожелания, замечания и критика очень даже приветствуются во всем где
есть слово LDAP :)))

P.S. Просто мне хочется чтобы у нас следующий мастер умел сразу запускаться с
LDAP :)) 

P.S. Гы Как глобально  :()


Вы написали "Alexey I. Froloff" <raorn@immo.ru> Thu, 13 Mar 2003 09:41:17
+0300:

> On Thu, Mar 13, 2003 at 09:26:24AM +0300, vserge wrote:
> > > можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять
> > > 
> > > в tcb, а потом в ldap
> > > _______________________________________________
> > Динис отправите пожалуй ста future request в BTS на пакет pam_ldap 
> > я вложу тогда ваши рекомендации в пакет !
> В виде /etc/pam.d/system-auth-ldap? Кстати, неплохо было бы на
> это дело альтернативы повесить.
> 
> И не забудьте про pam_mkhomedir (по аналогии с
> system-auth-winbind, только umask должен быть не 022, а 077).
> 
> P.S. У меня дома валяется 100% рабочая конфигурация, даже passwd
> работате кажется. Всё забываю на работу принести :-(
> 


-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		


^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  2003-03-13  7:04                                 ` vserge
@ 2003-03-13  7:20                                   ` Alexey I. Froloff
  2003-03-13  7:54                                     ` vserge
  0 siblings, 1 reply; 17+ messages in thread
From: Alexey I. Froloff @ 2003-03-13  7:20 UTC (permalink / raw)
  To: sisyphus

[-- Attachment #1: Type: text/plain, Size: 470 bytes --]

On Thu, Mar 13, 2003 at 10:04:29AM +0300, vserge wrote:
> Запости пожалуйста в BTS или перешли мне личным мылом!!!
OK. Если не забуду. Самое смешное, что мне не удалось на работе
настроить то же самое ;-) То авторизовать не хочет, то passwd
отваливается.

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
------------------------------------------
  Inform-Mobil, Ltd. System Adminitrator
       http://www.inform-mobil.ru/
Tel: +7(095)504-4709, Fax: +7(095)513-1006

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 17+ messages in thread

* Re: [sisyphus] Master 2.2 и LDAP
  2003-03-13  7:20                                   ` Alexey I. Froloff
@ 2003-03-13  7:54                                     ` vserge
  0 siblings, 0 replies; 17+ messages in thread
From: vserge @ 2003-03-13  7:54 UTC (permalink / raw)
  To: sisyphus

Добрый день

Вы написали "Alexey I. Froloff" <raorn@immo.ru> Thu, 13 Mar 2003 10:20:34
+0300:

> On Thu, Mar 13, 2003 at 10:04:29AM +0300, vserge wrote:
> > Запости пожалуйста в BTS или перешли мне личным мылом!!!
> OK. Если не забуду. Самое смешное, что мне не удалось на работе
> настроить то же самое ;-) То авторизовать не хочет, то passwd
> отваливается.
> 
Пожалуйста не забудь

внедрим в пакет и будем пинать!!! (меня наверное) Гы:)

-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		


^ permalink raw reply	[flat|nested] 17+ messages in thread

end of thread, other threads:[~2003-03-13  7:54 UTC | newest]

Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-03-10  8:42 [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
2003-03-10  8:48 ` Peter V. Saveliev
2003-03-10  9:10   ` Arcady V. Ivanov
2003-03-10 10:02     ` Peter V. Saveliev
2003-03-10 19:21       ` Re[2]: [sisyphus] Master 2.2 É LDAP Volkov Serge
2003-03-11  7:45     ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov
2003-03-11 12:56       ` Denis S. Filimonov
2003-03-12  3:56           ` Denis S. Filimonov
2003-03-12  4:47               ` Denis S. Filimonov
2003-03-12  5:13                   ` Denis S. Filimonov
2003-03-12  8:55                       ` Denis S. Filimonov
2003-03-13  5:56                           ` Denis S. Filimonov
2003-03-13  6:26                             ` vserge
2003-03-13  6:41                               ` Alexey I. Froloff
2003-03-13  7:04                                 ` vserge
2003-03-13  7:20                                   ` Alexey I. Froloff
2003-03-13  7:54                                     ` vserge

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git