From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <den@academ.org>
Content-Type: text/plain;
  charset="koi8-r"
From: "Denis S. Filimonov" <den@academ.org>
To: sisyphus@altlinux.ru
Subject: Re: [sisyphus] Master 2.2 =?koi8-r?q?=C9?= LDAP
Date: Thu, 13 Mar 2003 11:56:21 +0600
User-Agent: KMail/1.4.3
References: <3E6C5004.3020703@help0.ru> <200303121455.38482.den@academ.org> <3E6FA0B8.6070608@help0.ru>
In-Reply-To: <3E6FA0B8.6070608@help0.ru>
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Message-Id: <200303131156.21571.den@academ.org>
Sender: sisyphus-admin@altlinux.ru
Errors-To: sisyphus-admin@altlinux.ru
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: sisyphus@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Id: <sisyphus.altlinux.ru>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/sisyphus/>
Archived-At: <http://lore.altlinux.org/sisyphus/200303131156.21571.den@academ.org/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

13 Март 2003 03:03, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >>Я  и имею в виду, что для локальных юзеров регистрация
> >>естественно работает.
> >
> >да, а для юзеров отсутствующих в tcb она работать не должна...
> >sshd наверно может обойтись ключом, а вот kdm... что-то тут не так
> > :) попробуйте в system-auth поставить
> >----------------------------------------------------------
> >auth           sufficient      /lib/security/pam_ldap.so
> >auth           required        /lib/security/pam_tcb.so shadow fork
> >nullok
> >account        sufficient      /lib/security/pam_ldap.so
> >account        required        /lib/security/pam_tcb.so shadow fork
> >password        required        /lib/security/pam_passwdqc.so
> >min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
> >random=42 enforce=users retry=3
> >password        required        /lib/security/pam_tcb.so use_authtok
> >shadow fork prefix=$2a$ count=8 write_to=tcb
> >session         optional        /lib/security/pam_tcb.so
> >session         required        /lib/security/pam_limits.so
> >-----------------------------------------------------------
> >должен заработать login для пользователей в ldap, но passwd будет
> >пытаться сменить пароль в tcb
> >_______________________________________________
>
> Спасибо, заработало, только теперь для локальных юзеров
> 2 раза пароль ввести просит. Как я понимаю - 1 раз пытается
> выцепить из LDAP, 2-й из TCB.
да, точно, забыл.
надо вторую строку исправить на:
auth           required        /lib/security/pam_tcb.so shadow fork 
nullok use_first_pass

можно, кстати, поменять порядок проверки паролей, т.е. сначала проверять 
в tcb, а потом в ldap