From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Content-Type: text/plain; charset="koi8-r" From: "Denis S. Filimonov" To: sisyphus@altlinux.ru Subject: Re: [sisyphus] Master 2.2 =?koi8-r?q?=C9?= LDAP Date: Wed, 12 Mar 2003 14:55:38 +0600 User-Agent: KMail/1.4.3 References: <3E6C5004.3020703@help0.ru> <200303121113.34370.den@academ.org> <3E6ED637.7050503@help0.ru> In-Reply-To: <3E6ED637.7050503@help0.ru> MIME-Version: 1.0 Content-Transfer-Encoding: 8bit Message-Id: <200303121455.38482.den@academ.org> Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: 12 Март 2003 12:39, Arcady V. Ivanov написал: > Denis S. Filimonov пишет: > >12 Март 2003 10:58, Arcady V. Ivanov написал: > >>Denis S. Filimonov пишет: > >>>12 Март 2003 10:14, Arcady V. Ivanov написал: > >>>>Denis S. Filimonov пишет: > >>>>>12 Март 2003 07:51, Arcady V. Ivanov написал: > >>>>>>Denis S. Filimonov пишет: > >>>>>>>>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и > >>>>>>>> пускают юзера на комп, а > >>>>>>>>если регистрироваться login-ом на обычном /dev/ttyv1 - не > >>>>>>>>пускает. > >>>>>>>> > >>>>>>>>Кто объяснит явление? > >>>>>>> > >>>>>>>Сравните содержимое файлов login, ssh, system-auth, > >>>>>>>и system-auth-use_first_pass в каталоге/etc/pam.d/ > >>>>>>>скорее всего это обнаружит проблему. Если нет -- кидайте их > >>>>>>>сюда. > >>>>>> > >>>>>>Не разобрался. Вот файлы из pam.d: > >>>>> > >>>>>Интересно, пароли-то берутся из tcb, pam_ldap там даже близко > >>>>> нет, а имена юзеров/групп из LDAP (nss_ldap). Может между ними > >>>>> есть несоответствия? > >>>>>Еще в /etc/security/* могут быть какие-нибудь ограничения... > >>>> > >>>>Тогда почему sshd и kdm пускают? > >>> > >>>наверняка сказать трудно, а потенциальных причин может быть > >>> много... например, в /etc/security/access.conf юзеру может быть > >>> запрещено логиниться с локального терминала > >> > >>В access.conf есть только # > >>Юзеры, которых я завожу через useradd, логинятся без проблем. > > > >в смысле и через login тоже? > > Именно через login. > > >и что написано в /etc/nsswitch.conf? > >дело в том, что useradd в Master 2.0 не добавлял пользователей в > > ldap, и едва ли он изменился, т.е. вновь создаваемые юзеры живут > > целиком в tcb. > >может дело в этом... > > Я и имею в виду, что для локальных юзеров регистрация > естественно работает. > да, а для юзеров отсутствующих в tcb она работать не должна... sshd наверно может обойтись ключом, а вот kdm... что-то тут не так :) попробуйте в system-auth поставить ---------------------------------------------------------- auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_tcb.so shadow fork nullok account sufficient /lib/security/pam_ldap.so account required /lib/security/pam_tcb.so shadow fork password required /lib/security/pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3 password required /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb session optional /lib/security/pam_tcb.so session required /lib/security/pam_limits.so ----------------------------------------------------------- должен заработать login для пользователей в ldap, но passwd будет пытаться сменить пароль в tcb