* [sisyphus] Master 2.2 и LDAP @ 2003-03-10 8:42 Arcady V. Ivanov 2003-03-10 8:48 ` Peter V. Saveliev 0 siblings, 1 reply; 17+ messages in thread From: Arcady V. Ivanov @ 2003-03-10 8:42 UTC (permalink / raw) To: sisyphus Переехал на Master 2.2 сразу на нескольких компах. Слетел LDAP через SSL. Работает только в режиме: --------------------------------------- #uri ldaps://serv.help0.ru #ssl on uri ldap://serv.help0.ru base dc=help0,dc=ru ldap_version 3 rootbinddn cn=proxyuser,dc=help0,dc=ru ---------------------------------------- Как ни крутил, не работает гад. Черните подсказку или просто скажите, что у вас все работает между компами на Master 2.2. Тогда буду искать глупые ошибки. -- SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP 2003-03-10 8:42 [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov @ 2003-03-10 8:48 ` Peter V. Saveliev 2003-03-10 9:10 ` Arcady V. Ivanov 0 siblings, 1 reply; 17+ messages in thread From: Peter V. Saveliev @ 2003-03-10 8:48 UTC (permalink / raw) To: sisyphus On Mon, 10 Mar 2003 20:42:44 +1200 "Arcady V. Ivanov" <arc@help0.ru> wrote: > Переехал на Master 2.2 сразу на нескольких компах. > > Слетел LDAP через SSL. > > Работает только в режиме: > --------------------------------------- > #uri ldaps://serv.help0.ru > #ssl on > uri ldap://serv.help0.ru > base dc=help0,dc=ru > ldap_version 3 > rootbinddn cn=proxyuser,dc=help0,dc=ru > ---------------------------------------- > > Как ни крутил, не работает гад. > Черните подсказку или просто скажите, > что у вас все работает между компами на Master 2.2. > > Тогда буду искать глупые ошибки. > Глупый вопрос, а serv.help0.ru резолвится на всех машинах-участниках ldap-домена, включая сервер? То есть, не на Мастере, но на Сизифе вплоть до недели назад (до сейчас еще не обновлен) все работает без перебоев. -- Sincerely, Peter V. Saveliev E-mail: peet@eltel.net Jabber: peet@jabber.ru ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP 2003-03-10 8:48 ` Peter V. Saveliev @ 2003-03-10 9:10 ` Arcady V. Ivanov 2003-03-10 10:02 ` Peter V. Saveliev 2003-03-11 7:45 ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov 0 siblings, 2 replies; 17+ messages in thread From: Arcady V. Ivanov @ 2003-03-10 9:10 UTC (permalink / raw) To: sisyphus Peter V. Saveliev пишет: >On Mon, 10 Mar 2003 20:42:44 +1200 >"Arcady V. Ivanov" <arc@help0.ru> wrote: > > > >>Переехал на Master 2.2 сразу на нескольких компах. >> >>Слетел LDAP через SSL. >> >>Работает только в режиме: >>--------------------------------------- >>#uri ldaps://serv.help0.ru >>#ssl on >>uri ldap://serv.help0.ru >>base dc=help0,dc=ru >>ldap_version 3 >>rootbinddn cn=proxyuser,dc=help0,dc=ru >>---------------------------------------- >> >>Как ни крутил, не работает гад. >>Черните подсказку или просто скажите, >>что у вас все работает между компами на Master 2.2. >> >>Тогда буду искать глупые ошибки. >> >> >> > >Глупый вопрос, а serv.help0.ru резолвится на всех машинах-участниках >ldap-домена, включая сервер? > Если бы не резолвился, то и без SSL бы не работал. >То есть, не на Мастере, но на Сизифе вплоть до недели назад (до сейчас >еще не обновлен) все работает без перебоев. > > Спасибо. Это обнадеживает. -- SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP 2003-03-10 9:10 ` Arcady V. Ivanov @ 2003-03-10 10:02 ` Peter V. Saveliev 2003-03-10 19:21 ` Re[2]: [sisyphus] Master 2.2 É LDAP Volkov Serge 2003-03-11 7:45 ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov 1 sibling, 1 reply; 17+ messages in thread From: Peter V. Saveliev @ 2003-03-10 10:02 UTC (permalink / raw) To: sisyphus On Mon, 10 Mar 2003 21:10:31 +1200 "Arcady V. Ivanov" <arc@help0.ru> wrote: <skip /> > Если бы не резолвился, то и без SSL бы не работал. <skip /> У меня переставал работать SSL, когда имя, на которое сделан сертификат, ldap.main, не резолвилось на самом сервере, или как-то так. В общем, когда то, что он срашивал, пользуясь /etc/ldap.conf, не сходилось с тем, что выдавал сервер. Это довольно легко отслеживается через дебажный вывод ldapsearch, он и ssl-диалог выводит, что помогает сильно. -- Sincerely, Peter V. Saveliev E-mail: peet@eltel.net Jabber: peet@jabber.ru ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re[2]: [sisyphus] Master 2.2 É LDAP 2003-03-10 10:02 ` Peter V. Saveliev @ 2003-03-10 19:21 ` Volkov Serge 0 siblings, 0 replies; 17+ messages in thread From: Volkov Serge @ 2003-03-10 19:21 UTC (permalink / raw) To: Peter V. Saveliev Hello Peter, Monday, March 10, 2003, 1:02:28 PM, you wrote: PVS> On Mon, 10 Mar 2003 21:10:31 +1200 PVS> "Arcady V. Ivanov" <arc@help0.ru> wrote: PVS> <skip /> >> Если бы не резолвился, то и без SSL бы не работал. PVS> <skip /> PVS> У меня переставал работать SSL, когда имя, на которое сделан сертификат, PVS> ldap.main, не резолвилось на самом сервере, или как-то так. В общем, PVS> когда то, что он срашивал, пользуясь /etc/ldap.conf, не сходилось с тем, PVS> что выдавал сервер. Имеется в виду /etc/openldap/ldap.conf что говорит лог LDAP сервера? PVS> Это довольно легко отслеживается через дебажный вывод ldapsearch, он и PVS> ssl-диалог выводит, что помогает сильно. -- Best regards, Volkov mailto:vserge@altlinux.ru ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP 2003-03-10 9:10 ` Arcady V. Ivanov 2003-03-10 10:02 ` Peter V. Saveliev @ 2003-03-11 7:45 ` Arcady V. Ivanov 2003-03-11 12:56 ` Denis S. Filimonov 1 sibling, 1 reply; 17+ messages in thread From: Arcady V. Ivanov @ 2003-03-11 7:45 UTC (permalink / raw) To: sisyphus Arcady V. Ivanov пишет: > Peter V. Saveliev пишет: > >> On Mon, 10 Mar 2003 20:42:44 +1200 >> "Arcady V. Ivanov" <arc@help0.ru> wrote: >> >> >> >>> Переехал на Master 2.2 сразу на нескольких компах. >>> >>> Слетел LDAP через SSL. >>> >>> Работает только в режиме: >>> --------------------------------------- >>> #uri ldaps://serv.help0.ru >>> #ssl on >>> uri ldap://serv.help0.ru >>> base dc=help0,dc=ru >>> ldap_version 3 >>> rootbinddn cn=proxyuser,dc=help0,dc=ru >>> ---------------------------------------- >>> >> >> Глупый вопрос, а serv.help0.ru резолвится на всех машинах-участниках >> ldap-домена, включая сервер? >> Спасибо всем. Оказывается все работало, но! KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают юзера на комп, а если регистрироваться login-ом на обычном /dev/ttyv1 - не пускает. Вот выдержки из syslog. 1-й случай - ssh, все работает. -------------------------------------------------------------------- Mar 11 19:38:00 zdo pam_tcb[2902]: sshd: Authentication passed for zdo from (uid=0) Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP server... Mar 11 19:38:00 zdo sshd[2903]: Accepted password for zdo from 192.168.0.11 port 32833 ssh2 Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnected to LDAP server after 1 attempt(s) Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP server... Mar 11 19:38:00 zdo pam_tcb[2911]: sshd: Session opened for zdo by (uid=500) Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnected to LDAP server after 1 attempt(s) -------------------------------------------------------------------- 2-й случай - login, не пускает. -------------------------------------------------------------------- Mar 11 19:38:53 zdo pam_tcb[1996]: login: Authentication passed for zdo from LOGIN(uid=0) Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnecting to LDAP server... Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnected to LDAP server after 1 attempt(s) Mar 11 19:38:58 zdo pam_tcb[2974]: login: Authentication passed for zdo from LOGIN(uid=0) Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnecting to LDAP server... Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnected to LDAP server after 1 attempt(s) -------------------------------------------------------------------- Кто объяснит явление? -- SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP 2003-03-11 7:45 ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov @ 2003-03-11 12:56 ` Denis S. Filimonov 0 siblings, 1 reply; 17+ messages in thread From: Denis S. Filimonov @ 2003-03-11 12:56 UTC (permalink / raw) To: sisyphus 11 Март 2003 13:45, Arcady V. Ivanov написал: > Arcady V. Ivanov пишет: > > Peter V. Saveliev пишет: > >> On Mon, 10 Mar 2003 20:42:44 +1200 > >> > >> "Arcady V. Ivanov" <arc@help0.ru> wrote: > >>> Переехал на Master 2.2 сразу на нескольких компах. > >>> > >>> Слетел LDAP через SSL. > >>> > >>> Работает только в режиме: > >>> --------------------------------------- > >>> #uri ldaps://serv.help0.ru > >>> #ssl on > >>> uri ldap://serv.help0.ru > >>> base dc=help0,dc=ru > >>> ldap_version 3 > >>> rootbinddn cn=proxyuser,dc=help0,dc=ru > >>> ---------------------------------------- > >> > >> Глупый вопрос, а serv.help0.ru резолвится на всех > >> машинах-участниках ldap-домена, включая сервер? > > Спасибо всем. Оказывается все работало, но! > > KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают > юзера на комп, а > если регистрироваться login-ом на обычном /dev/ttyv1 - не пускает. > > Вот выдержки из syslog. > 1-й случай - ssh, все работает. > -------------------------------------------------------------------- > Mar 11 19:38:00 zdo pam_tcb[2902]: sshd: Authentication passed for > zdo from (uid=0) > Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP > server... Mar 11 19:38:00 zdo sshd[2903]: Accepted password for zdo > from 192.168.0.11 port 32833 ssh2 > Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnected to LDAP server > after 1 attempt(s) > Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: reconnecting to LDAP > server... Mar 11 19:38:00 zdo pam_tcb[2911]: sshd: Session opened for > zdo by (uid=500) Mar 11 19:38:00 zdo sshd[2902]: nss_ldap: > reconnected to LDAP server after 1 attempt(s) > -------------------------------------------------------------------- > > 2-й случай - login, не пускает. > -------------------------------------------------------------------- > Mar 11 19:38:53 zdo pam_tcb[1996]: login: Authentication passed for > zdo from LOGIN(uid=0) > Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnecting to LDAP > server... Mar 11 19:38:53 zdo login[1996]: nss_ldap: reconnected to > LDAP server after 1 attempt(s) > Mar 11 19:38:58 zdo pam_tcb[2974]: login: Authentication passed for > zdo from LOGIN(uid=0) > Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnecting to LDAP > server... Mar 11 19:38:58 zdo login[2974]: nss_ldap: reconnected to > LDAP server after 1 attempt(s) > -------------------------------------------------------------------- > > Кто объяснит явление? Сравните содержимое файлов login, ssh, system-auth, и system-auth-use_first_pass в каталоге/etc/pam.d/ скорее всего это обнаружит проблему. Если нет -- кидайте их сюда. ^ permalink raw reply [flat|nested] 17+ messages in thread
[parent not found: <3E6E929D.8090403@help0.ru>]
* Re: [sisyphus] Master 2.2 и LDAP @ 2003-03-12 3:56 ` Denis S. Filimonov 0 siblings, 1 reply; 17+ messages in thread From: Denis S. Filimonov @ 2003-03-12 3:56 UTC (permalink / raw) To: sisyphus 12 Март 2003 07:51, Arcady V. Ivanov написал: > Denis S. Filimonov пишет: > >>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают > >>юзера на комп, а > >>если регистрироваться login-ом на обычном /dev/ttyv1 - не пускает. > >> > >>Кто объяснит явление? > > > >Сравните содержимое файлов login, ssh, system-auth, > >и system-auth-use_first_pass в каталоге/etc/pam.d/ > >скорее всего это обнаружит проблему. Если нет -- кидайте их сюда. > > Не разобрался. Вот файлы из pam.d: > Интересно, пароли-то берутся из tcb, pam_ldap там даже близко нет, а имена юзеров/групп из LDAP (nss_ldap). Может между ними есть несоответствия? Еще в /etc/security/* могут быть какие-нибудь ограничения... > "login" > ----------------------------------------------------- > #%PAM-1.0 > auth required /lib/security/pam_securetty.so > auth required /lib/security/pam_stack.so > service=system-auth auth required > /lib/security/pam_nologin.so > auth optional /lib/security/pam_mail.so > account required /lib/security/pam_stack.so > service=system-auth password required > /lib/security/pam_stack.so > service=system-auth > session required /lib/security/pam_stack.so > service=system-auth session optional > /lib/security/pam_lastlog.so nowtmp > session optional /lib/security/pam_motd.so > session optional /lib/security/pam_console.so > ----------------------------------------------------- > > "sshd" > ----------------------------------------------------- > #%PAM-1.0 > auth required /lib/security/pam_userpass.so > auth required /lib/security/pam_stack.so > service=system-auth-use_first_pass > auth required /lib/security/pam_nologin.so > account required /lib/security/pam_stack.so > service=system-auth password required > /lib/security/pam_stack.so > service=system-auth > session required /lib/security/pam_stack.so > service=system-auth > ----------------------------------------------------- > > "system-auth" > ----------------------------------------------------- > #%PAM-1.0 > auth required /lib/security/pam_tcb.so shadow fork nullok > account required /lib/security/pam_tcb.so shadow fork > password required /lib/security/pam_passwdqc.so > min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny > random=42 enforce=users retry=3 > password required /lib/security/pam_tcb.so use_authtok > shadow fork prefix=$2a$ count=8 write_to=tcb > session required /lib/security/pam_tcb.so > session required /lib/security/pam_limits.so > ----------------------------------------------------- > > "system-auth-use_first_pass" > ----------------------------------------------------- > #%PAM-1.0 > auth required /lib/security/pam_tcb.so shadow fork nullok > use_first_pass password required > /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 > write_to=tcb > ----------------------------------------------------- ^ permalink raw reply [flat|nested] 17+ messages in thread
[parent not found: <3E6EB421.4030000@help0.ru>]
* Re: [sisyphus] Master 2.2 и LDAP @ 2003-03-12 4:47 ` Denis S. Filimonov 0 siblings, 1 reply; 17+ messages in thread From: Denis S. Filimonov @ 2003-03-12 4:47 UTC (permalink / raw) To: sisyphus 12 Март 2003 10:14, Arcady V. Ivanov написал: > Denis S. Filimonov пишет: > >12 Март 2003 07:51, Arcady V. Ivanov написал: > >>Denis S. Filimonov пишет: > >>>>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают > >>>>юзера на комп, а > >>>>если регистрироваться login-ом на обычном /dev/ttyv1 - не > >>>> пускает. > >>>> > >>>>Кто объяснит явление? > >>> > >>>Сравните содержимое файлов login, ssh, system-auth, > >>>и system-auth-use_first_pass в каталоге/etc/pam.d/ > >>>скорее всего это обнаружит проблему. Если нет -- кидайте их сюда. > >> > >>Не разобрался. Вот файлы из pam.d: > > > >Интересно, пароли-то берутся из tcb, pam_ldap там даже близко нет, а > >имена юзеров/групп из LDAP (nss_ldap). Может между ними есть > >несоответствия? > >Еще в /etc/security/* могут быть какие-нибудь ограничения... > > Тогда почему sshd и kdm пускают? наверняка сказать трудно, а потенциальных причин может быть много... например, в /etc/security/access.conf юзеру может быть запрещено логиниться с локального терминала ^ permalink raw reply [flat|nested] 17+ messages in thread
[parent not found: <3E6EBE64.9050408@help0.ru>]
* Re: [sisyphus] Master 2.2 и LDAP @ 2003-03-12 5:13 ` Denis S. Filimonov 0 siblings, 1 reply; 17+ messages in thread From: Denis S. Filimonov @ 2003-03-12 5:13 UTC (permalink / raw) To: sisyphus 12 Март 2003 10:58, Arcady V. Ivanov написал: > Denis S. Filimonov пишет: > >12 Март 2003 10:14, Arcady V. Ivanov написал: > >>Denis S. Filimonov пишет: > >>>12 Март 2003 07:51, Arcady V. Ivanov написал: > >>>>Denis S. Filimonov пишет: > >>>>>>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и пускают > >>>>>>юзера на комп, а > >>>>>>если регистрироваться login-ом на обычном /dev/ttyv1 - не > >>>>>>пускает. > >>>>>> > >>>>>>Кто объяснит явление? > >>>>> > >>>>>Сравните содержимое файлов login, ssh, system-auth, > >>>>>и system-auth-use_first_pass в каталоге/etc/pam.d/ > >>>>>скорее всего это обнаружит проблему. Если нет -- кидайте их > >>>>> сюда. > >>>> > >>>>Не разобрался. Вот файлы из pam.d: > >>> > >>>Интересно, пароли-то берутся из tcb, pam_ldap там даже близко нет, > >>> а имена юзеров/групп из LDAP (nss_ldap). Может между ними есть > >>> несоответствия? > >>>Еще в /etc/security/* могут быть какие-нибудь ограничения... > >> > >>Тогда почему sshd и kdm пускают? > > > >наверняка сказать трудно, а потенциальных причин может быть много... > >например, в /etc/security/access.conf юзеру может быть запрещено > >логиниться с локального терминала > > В access.conf есть только # > Юзеры, которых я завожу через useradd, логинятся без проблем. в смысле и через login тоже? и что написано в /etc/nsswitch.conf? дело в том, что useradd в Master 2.0 не добавлял пользователей в ldap, и едва ли он изменился, т.е. вновь создаваемые юзеры живут целиком в tcb. может дело в этом... ^ permalink raw reply [flat|nested] 17+ messages in thread
[parent not found: <3E6ED637.7050503@help0.ru>]
* Re: [sisyphus] Master 2.2 и LDAP @ 2003-03-12 8:55 ` Denis S. Filimonov 0 siblings, 1 reply; 17+ messages in thread From: Denis S. Filimonov @ 2003-03-12 8:55 UTC (permalink / raw) To: sisyphus 12 Март 2003 12:39, Arcady V. Ivanov написал: > Denis S. Filimonov пишет: > >12 Март 2003 10:58, Arcady V. Ivanov написал: > >>Denis S. Filimonov пишет: > >>>12 Март 2003 10:14, Arcady V. Ivanov написал: > >>>>Denis S. Filimonov пишет: > >>>>>12 Март 2003 07:51, Arcady V. Ivanov написал: > >>>>>>Denis S. Filimonov пишет: > >>>>>>>>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и > >>>>>>>> пускают юзера на комп, а > >>>>>>>>если регистрироваться login-ом на обычном /dev/ttyv1 - не > >>>>>>>>пускает. > >>>>>>>> > >>>>>>>>Кто объяснит явление? > >>>>>>> > >>>>>>>Сравните содержимое файлов login, ssh, system-auth, > >>>>>>>и system-auth-use_first_pass в каталоге/etc/pam.d/ > >>>>>>>скорее всего это обнаружит проблему. Если нет -- кидайте их > >>>>>>>сюда. > >>>>>> > >>>>>>Не разобрался. Вот файлы из pam.d: > >>>>> > >>>>>Интересно, пароли-то берутся из tcb, pam_ldap там даже близко > >>>>> нет, а имена юзеров/групп из LDAP (nss_ldap). Может между ними > >>>>> есть несоответствия? > >>>>>Еще в /etc/security/* могут быть какие-нибудь ограничения... > >>>> > >>>>Тогда почему sshd и kdm пускают? > >>> > >>>наверняка сказать трудно, а потенциальных причин может быть > >>> много... например, в /etc/security/access.conf юзеру может быть > >>> запрещено логиниться с локального терминала > >> > >>В access.conf есть только # > >>Юзеры, которых я завожу через useradd, логинятся без проблем. > > > >в смысле и через login тоже? > > Именно через login. > > >и что написано в /etc/nsswitch.conf? > >дело в том, что useradd в Master 2.0 не добавлял пользователей в > > ldap, и едва ли он изменился, т.е. вновь создаваемые юзеры живут > > целиком в tcb. > >может дело в этом... > > Я и имею в виду, что для локальных юзеров регистрация > естественно работает. > да, а для юзеров отсутствующих в tcb она работать не должна... sshd наверно может обойтись ключом, а вот kdm... что-то тут не так :) попробуйте в system-auth поставить ---------------------------------------------------------- auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_tcb.so shadow fork nullok account sufficient /lib/security/pam_ldap.so account required /lib/security/pam_tcb.so shadow fork password required /lib/security/pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3 password required /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb session optional /lib/security/pam_tcb.so session required /lib/security/pam_limits.so ----------------------------------------------------------- должен заработать login для пользователей в ldap, но passwd будет пытаться сменить пароль в tcb ^ permalink raw reply [flat|nested] 17+ messages in thread
[parent not found: <3E6FA0B8.6070608@help0.ru>]
* Re: [sisyphus] Master 2.2 и LDAP @ 2003-03-13 5:56 ` Denis S. Filimonov 2003-03-13 6:26 ` vserge 0 siblings, 1 reply; 17+ messages in thread From: Denis S. Filimonov @ 2003-03-13 5:56 UTC (permalink / raw) To: sisyphus 13 Март 2003 03:03, Arcady V. Ivanov написал: > Denis S. Filimonov пишет: > >>Я и имею в виду, что для локальных юзеров регистрация > >>естественно работает. > > > >да, а для юзеров отсутствующих в tcb она работать не должна... > >sshd наверно может обойтись ключом, а вот kdm... что-то тут не так > > :) попробуйте в system-auth поставить > >---------------------------------------------------------- > >auth sufficient /lib/security/pam_ldap.so > >auth required /lib/security/pam_tcb.so shadow fork > >nullok > >account sufficient /lib/security/pam_ldap.so > >account required /lib/security/pam_tcb.so shadow fork > >password required /lib/security/pam_passwdqc.so > >min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny > >random=42 enforce=users retry=3 > >password required /lib/security/pam_tcb.so use_authtok > >shadow fork prefix=$2a$ count=8 write_to=tcb > >session optional /lib/security/pam_tcb.so > >session required /lib/security/pam_limits.so > >----------------------------------------------------------- > >должен заработать login для пользователей в ldap, но passwd будет > >пытаться сменить пароль в tcb > >_______________________________________________ > > Спасибо, заработало, только теперь для локальных юзеров > 2 раза пароль ввести просит. Как я понимаю - 1 раз пытается > выцепить из LDAP, 2-й из TCB. да, точно, забыл. надо вторую строку исправить на: auth required /lib/security/pam_tcb.so shadow fork nullok use_first_pass можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять в tcb, а потом в ldap ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP 2003-03-13 5:56 ` Denis S. Filimonov @ 2003-03-13 6:26 ` vserge 2003-03-13 6:41 ` Alexey I. Froloff 0 siblings, 1 reply; 17+ messages in thread From: vserge @ 2003-03-13 6:26 UTC (permalink / raw) To: sisyphus Добрый день Вы написали "Denis S. Filimonov" <den@academ.org> Thu, 13 Mar 2003 11:56:21 +0600: > 13 Март 2003 03:03, Arcady V. Ivanov написал: > > Denis S. Filimonov пишет: > > >>Я и имею в виду, что для локальных юзеров регистрация > > >>естественно работает. > > > > > >да, а для юзеров отсутствующих в tcb она работать не должна... > > >sshd наверно может обойтись ключом, а вот kdm... что-то тут не так > > > :) попробуйте в system-auth поставить > > >---------------------------------------------------------- > > >auth sufficient /lib/security/pam_ldap.so > > >auth required /lib/security/pam_tcb.so shadow fork > > >nullok > > >account sufficient /lib/security/pam_ldap.so > > >account required /lib/security/pam_tcb.so shadow fork > > >password required /lib/security/pam_passwdqc.so > > >min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny > > >random=42 enforce=users retry=3 > > >password required /lib/security/pam_tcb.so use_authtok > > >shadow fork prefix=$2a$ count=8 write_to=tcb > > >session optional /lib/security/pam_tcb.so > > >session required /lib/security/pam_limits.so > > >----------------------------------------------------------- > > >должен заработать login для пользователей в ldap, но passwd будет > > >пытаться сменить пароль в tcb > > >_______________________________________________ > > > > Спасибо, заработало, только теперь для локальных юзеров > > 2 раза пароль ввести просит. Как я понимаю - 1 раз пытается > > выцепить из LDAP, 2-й из TCB. > да, точно, забыл. > надо вторую строку исправить на: > auth required /lib/security/pam_tcb.so shadow fork > nullok use_first_pass > > можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять > в tcb, а потом в ldap > _______________________________________________ Динис отправите пожалуй ста future request в BTS на пакет pam_ldap я вложу тогда ваши рекомендации в пакет ! With best wishes, Volkov Serge Network Administrator/Security Administrator ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP 2003-03-13 6:26 ` vserge @ 2003-03-13 6:41 ` Alexey I. Froloff 2003-03-13 7:04 ` vserge 0 siblings, 1 reply; 17+ messages in thread From: Alexey I. Froloff @ 2003-03-13 6:41 UTC (permalink / raw) To: sisyphus [-- Attachment #1: Type: text/plain, Size: 865 bytes --] On Thu, Mar 13, 2003 at 09:26:24AM +0300, vserge wrote: > > можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять > > в tcb, а потом в ldap > > _______________________________________________ > Динис отправите пожалуй ста future request в BTS на пакет pam_ldap > я вложу тогда ваши рекомендации в пакет ! В виде /etc/pam.d/system-auth-ldap? Кстати, неплохо было бы на это дело альтернативы повесить. И не забудьте про pam_mkhomedir (по аналогии с system-auth-winbind, только umask должен быть не 022, а 077). P.S. У меня дома валяется 100% рабочая конфигурация, даже passwd работате кажется. Всё забываю на работу принести :-( -- Regards, Alexey I. Froloff AIF5-RIPN, AIF5-RIPE ------------------------------------------ Inform-Mobil, Ltd. System Adminitrator http://www.inform-mobil.ru/ Tel: +7(095)504-4709, Fax: +7(095)513-1006 [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP 2003-03-13 6:41 ` Alexey I. Froloff @ 2003-03-13 7:04 ` vserge 2003-03-13 7:20 ` Alexey I. Froloff 0 siblings, 1 reply; 17+ messages in thread From: vserge @ 2003-03-13 7:04 UTC (permalink / raw) To: sisyphus Добрый день Запости пожалуйста в BTS или перешли мне личным мылом!!! Так как пожелания, замечания и критика очень даже приветствуются во всем где есть слово LDAP :))) P.S. Просто мне хочется чтобы у нас следующий мастер умел сразу запускаться с LDAP :)) P.S. Гы Как глобально :() Вы написали "Alexey I. Froloff" <raorn@immo.ru> Thu, 13 Mar 2003 09:41:17 +0300: > On Thu, Mar 13, 2003 at 09:26:24AM +0300, vserge wrote: > > > можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять > > > > > > в tcb, а потом в ldap > > > _______________________________________________ > > Динис отправите пожалуй ста future request в BTS на пакет pam_ldap > > я вложу тогда ваши рекомендации в пакет ! > В виде /etc/pam.d/system-auth-ldap? Кстати, неплохо было бы на > это дело альтернативы повесить. > > И не забудьте про pam_mkhomedir (по аналогии с > system-auth-winbind, только umask должен быть не 022, а 077). > > P.S. У меня дома валяется 100% рабочая конфигурация, даже passwd > работате кажется. Всё забываю на работу принести :-( > -- With best wishes, Volkov Serge Network Administrator/Security Administrator ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP 2003-03-13 7:04 ` vserge @ 2003-03-13 7:20 ` Alexey I. Froloff 2003-03-13 7:54 ` vserge 0 siblings, 1 reply; 17+ messages in thread From: Alexey I. Froloff @ 2003-03-13 7:20 UTC (permalink / raw) To: sisyphus [-- Attachment #1: Type: text/plain, Size: 470 bytes --] On Thu, Mar 13, 2003 at 10:04:29AM +0300, vserge wrote: > Запости пожалуйста в BTS или перешли мне личным мылом!!! OK. Если не забуду. Самое смешное, что мне не удалось на работе настроить то же самое ;-) То авторизовать не хочет, то passwd отваливается. -- Regards, Alexey I. Froloff AIF5-RIPN, AIF5-RIPE ------------------------------------------ Inform-Mobil, Ltd. System Adminitrator http://www.inform-mobil.ru/ Tel: +7(095)504-4709, Fax: +7(095)513-1006 [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [sisyphus] Master 2.2 и LDAP 2003-03-13 7:20 ` Alexey I. Froloff @ 2003-03-13 7:54 ` vserge 0 siblings, 0 replies; 17+ messages in thread From: vserge @ 2003-03-13 7:54 UTC (permalink / raw) To: sisyphus Добрый день Вы написали "Alexey I. Froloff" <raorn@immo.ru> Thu, 13 Mar 2003 10:20:34 +0300: > On Thu, Mar 13, 2003 at 10:04:29AM +0300, vserge wrote: > > Запости пожалуйста в BTS или перешли мне личным мылом!!! > OK. Если не забуду. Самое смешное, что мне не удалось на работе > настроить то же самое ;-) То авторизовать не хочет, то passwd > отваливается. > Пожалуйста не забудь внедрим в пакет и будем пинать!!! (меня наверное) Гы:) -- With best wishes, Volkov Serge Network Administrator/Security Administrator ^ permalink raw reply [flat|nested] 17+ messages in thread
end of thread, other threads:[~2003-03-13 7:54 UTC | newest] Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2003-03-10 8:42 [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov 2003-03-10 8:48 ` Peter V. Saveliev 2003-03-10 9:10 ` Arcady V. Ivanov 2003-03-10 10:02 ` Peter V. Saveliev 2003-03-10 19:21 ` Re[2]: [sisyphus] Master 2.2 É LDAP Volkov Serge 2003-03-11 7:45 ` [sisyphus] Master 2.2 и LDAP Arcady V. Ivanov 2003-03-11 12:56 ` Denis S. Filimonov 2003-03-12 3:56 ` Denis S. Filimonov 2003-03-12 4:47 ` Denis S. Filimonov 2003-03-12 5:13 ` Denis S. Filimonov 2003-03-12 8:55 ` Denis S. Filimonov 2003-03-13 5:56 ` Denis S. Filimonov 2003-03-13 6:26 ` vserge 2003-03-13 6:41 ` Alexey I. Froloff 2003-03-13 7:04 ` vserge 2003-03-13 7:20 ` Alexey I. Froloff 2003-03-13 7:54 ` vserge
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git