<div dir="ltr"><div>Доброй Ð½Ð¾Ñ‡Ð¸.</div><div><br></div><div>Сборка Ð¿Ñ€Ð¾Ð²ÐµÑ€ÐµÐ½Ð° Ð² Ñ€Ð°Ð·Ð»Ð¸Ñ‡Ð½Ñ‹Ñ… ÐºÐ¾Ð½Ñ„игурациях Ð¸ Ð¾Ñ‚правлена Ð½Ð° Ð¾Ð´Ð¾Ð±Ñ€ÐµÐ½Ð¸Ðµ:</div><div>#240988 EPERM #8 sisyphus pam-config.git=1.8.0-alt1</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">чт, 21 Ð½Ð¾ÑÐ±. 2019 Ð³. Ð² 02:45, Evgeny Sinelnikov &lt;<a href="mailto:sin@altlinux.org">sin@altlinux.org</a>&gt;:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Здравствуйте,<br>
<br>
Хочу Ð½Ð°Ð¿Ð¾Ð¼Ð½Ð¸Ñ‚ÑŒ Ð¾Ð± Ð°ÐºÑ‚уальной Ð´Ð¾ ÑÐ¸Ñ… Ð¿Ð¾Ñ€ Ñ‚еме Ð½ÐµÐ»Ð¾ÐºÐ°Ð»ÑŒÐ½Ñ‹Ñ… Ð²Ð°Ñ€Ð¸Ð°Ð½Ñ‚ов<br>
настроек PAM. Ð¡ Ð¼Ð¾Ð¼ÐµÐ½Ñ‚а Ð¿Ð¾ÑÐ»ÐµÐ´Ð½ÐµÐ³Ð¾ Ð¾Ð±ÑÑƒÐ¶Ð´ÐµÐ½Ð¸Ñ Ð¿Ð¾ÑÐ²Ð¸Ð»Ð¸ÑÑŒ Ð´Ð¾Ð¿Ð¾Ð»Ð½Ð¸Ñ‚ельные<br>
вопросы, Ð·Ð°Ð´Ð°Ñ‡Ð¸ Ð¸ Ð¿Ñ€Ð¾Ð±Ð»ÐµÐ¼Ñ‹. Ð, Ð¼ÐµÐ¶Ð´Ñƒ Ñ‚ем, Ñ Ñ‚ех Ð¿Ð¾Ñ€ Ð½Ð¸Ñ‡ÐµÐ³Ð¾ Ð½Ðµ<br>
изменилось:<br>
<a href="https://lists.altlinux.org/pipermail/devel/2017-April/202654.html" rel="noreferrer" target="_blank">https://lists.altlinux.org/pipermail/devel/2017-April/202654.html</a><br>
<br>
Отмечу, Ñ‡Ñ‚о ÑƒÑÐ»Ð¾Ð²Ð¸Ðµ uid &gt;= 500 Ð´Ð»Ñ Ð»ÑŽÐ±Ñ‹Ñ… Ð³Ð»Ð¾Ð±Ð°Ð»ÑŒÐ½Ñ‹Ñ… Ð¿Ð¾Ð»ÑŒÐ·Ð¾Ð²Ð°Ñ‚елей. Ð˜<br>
настройку ÑÑ‚ой Ð¿Ð¾Ð»Ð¸Ñ‚ики Ñ Ð¿Ð¾Ð¼Ð¾Ñ‰ÑŒÑŽ control Ñ Ð¿Ð¾ÐºÐ° Ð¾ÑÑ‚авил - ÑÑ‚о<br>
отдельная Ð½Ðµ ÑÑ‚оль Ð°ÐºÑ‚уальная Ð¿Ñ€Ð¾Ð±Ð»ÐµÐ¼Ð° (осталась Ñ‚екущая ÑÑ…ема).<br>
<br>
Текущие Ð¸Ð·Ð¼ÐµÐ½ÐµÐ½Ð¸Ñ, ÐºÐ¾Ñ‚орые Ñ Ñ…очу Ð¿Ñ€ÐµÐ´Ð»Ð¾Ð¶Ð¸Ñ‚ÑŒ Ð¿Ñ€Ð¾Ñ‚естировать Ð¸<br>
внедрить, Ð²ÐºÐ»ÑŽÑ‡Ð°ÑŽÑ‚ Ð² ÑÐµÐ±Ñ ÑÐ»ÐµÐ´ÑƒÑŽÑ‰Ð¸Ðµ Ð¿Ñ€Ð¾Ð±Ð»ÐµÐ¼Ñ‹ Ð¸ Ñ€ÐµÑˆÐµÐ½Ð¸Ñ:<br>
- &quot;путаница Ð¿Ñ€Ð¸ Ð½Ð°Ð»Ð¸Ñ‡Ð¸Ð¸ ÑÐ¾Ð²Ð¿Ð°Ð´Ð°ÑŽÑ‰Ð¸Ñ… Ð»Ð¾Ð³Ð¸Ð½Ð¾Ð²&quot;. ÐŸÐ¾ ÑƒÐ¼Ð¾Ð»Ñ‡Ð°Ð½Ð¸ÑŽ Ð²Ð²Ð¾Ð´Ð¸Ñ‚ся<br>
строгий ÐºÐ¾Ð½Ñ‚роль Ð½Ð° ÑƒÑ€Ð¾Ð²Ð½Ðµ ÑÑ‚ека PAM-модулей Ñ Ð¿Ð¾Ð¼Ð¾Ñ‰ÑŒÑŽ Ð¼Ð¾Ð´ÑƒÐ»Ñ<br>
pam_localuser Ð´Ð»Ñ Ð¼ÐµÑ‚одов krb5, krb5_ccreds Ð¸ winbind (для sss ÑÑ‚о ÑƒÐ¶Ðµ<br>
внедрено);<br>
- Ð”ля ÑÐ¾Ñ…ранения Ð²Ð¾Ð·Ð¼Ð¾Ð¶Ð½Ð¾ÑÑ‚ей Ð»Ð¾Ð³Ð¸ÐºÐ¸ Ñ Ð¸ÑÐ¿Ð¾Ð»ÑŒÐ·Ð¾Ð²Ð°Ð½Ð¸ÐµÐ¼ &quot;путаницы&quot;, ÐºÐ°Ðº<br>
фичи (а Ñ‚акие Ð²Ð°Ñ€Ð¸Ð°Ð½Ñ‚Ñ‹ Ð¸ÑÐ¿Ð¾Ð»ÑŒÐ·Ð¾Ð²Ð°Ð½Ð¸Ñ ÑÑƒÑ‰ÐµÑÑ‚вуют) Ð²Ð²Ð¾Ð´Ð¸Ñ‚ся Ð¼ÐµÑ‚од<br>
krb5_local;<br>
- Ð”ля ÑƒÐ¿Ñ€Ð°Ð²Ð»ÐµÐ½Ð¸Ñ Ð¿Ð¾Ð»Ð¸Ñ‚иками Ð½Ð°ÑÑ‚ройки ÑÐµÑÑÐ¸Ð¸ Ð²Ð²Ð¾Ð´Ð¸Ñ‚ся Ð½Ð¾Ð²Ñ‹Ð¹ control -<br>
system-policy.<br>
<br>
Тестовая ÑÐ±Ð¾Ñ€ÐºÐ° Ð³Ð¾Ñ‚ова Ð¸ ÑÐµÐ¹Ñ‡Ð°Ñ Ð½Ð°Ñ…одится Ð½Ð° ÑÑ‚адии Ð¾Ñ‚ладки (основные<br>
тесты ÑƒÑÐ¿ÐµÑˆÐ½Ð¾ Ð·Ð°Ð²ÐµÑ€ÑˆÐµÐ½Ñ‹, Ñ‚ребуются Ð´Ð¾Ð±Ñ€Ð¾Ð²Ð¾Ð»ÑŒÑ†Ñ‹ Ð´Ð»Ñ ÑƒÑ‡Ð°ÑÑ‚ия Ð²<br>
расширенной Ð¿Ñ€Ð¾Ð²ÐµÑ€ÐºÐµ):<br>
#240988 EPERM #7 [test-only] sisyphus pam-config.git=1.8.0-alt1<br>
<br>
<br>
PS: ÐÐ° Ñ‚екущем ÑÑ‚апе Ð²ÑÑ‘ Ð·Ð°Ð²Ð¸ÑÐ¸Ñ‚ Ð¾Ñ‚ Ð¼ÐµÐ¹Ð½Ñ‚енера pam-config:<br>
$ ssh girar acl sisyphus pam-config show<br>
pam-config  Â  Â  ldv<br>
<br>
PPS: Ð¯ Ð½Ðµ ÑÑ‚ал Ñ‚рогать Ñ‚ри Ð¼ÐµÑ‚ода pkcs11 (выглядит Ð¿Ñ€Ð¸Ð»Ð¸Ñ‡Ð½Ð¾ Ð´Ð»Ñ ÑÐ²Ð¾Ð¸Ñ…<br>
задач), ldap Ð¸ multi (pam-модули Ð½Ð° Ð±Ð°Ð·Ðµ ldap Ð½Ðµ Ð¿Ð¾Ð½Ð¸Ð¼Ð°ÑŽ ÐºÐ°Ðº<br>
отлаживать - Ð¿Ñ€ÐµÐ´Ð¿Ð¾Ñ‡Ð¸Ñ‚аю Ð½Ðµ Ñ‚рогать, ÐºÐ°Ðº Ð½Ð°ÑÐ»ÐµÐ´Ð¸Ðµ).<br>
<br>
________________________________________<br>
<br>
О Ð¿Ð¾ÑÐ»ÐµÐ´Ð½ÐµÐ¼ Ð¿Ð¾Ð´Ñ€Ð¾Ð±Ð½ÐµÐµ:<br>
<br>
sin@xpi pam-config $ ls -1 /etc/pam.d/system-*<br>
/etc/pam.d/system-auth -&gt; system-auth-krb5_local<br>
/etc/pam.d/system-auth-krb5<br>
/etc/pam.d/system-auth-krb5_ccreds<br>
/etc/pam.d/system-auth-krb5_local<br>
/etc/pam.d/system-auth-ldap<br>
/etc/pam.d/system-auth-local<br>
/etc/pam.d/system-auth-multi<br>
/etc/pam.d/system-auth-pkcs11<br>
/etc/pam.d/system-auth-sss<br>
/etc/pam.d/system-auth-use_first_pass -&gt; system-auth-use_first_pass-krb5_local<br>
/etc/pam.d/system-auth-use_first_pass-krb5<br>
/etc/pam.d/system-auth-use_first_pass-krb5_ccreds<br>
/etc/pam.d/system-auth-use_first_pass-krb5_local<br>
/etc/pam.d/system-auth-use_first_pass-ldap<br>
/etc/pam.d/system-auth-use_first_pass-local<br>
/etc/pam.d/system-auth-use_first_pass-multi<br>
/etc/pam.d/system-auth-use_first_pass-pkcs11<br>
/etc/pam.d/system-auth-use_first_pass-sss<br>
/etc/pam.d/system-auth-use_first_pass-winbind<br>
/etc/pam.d/system-auth-winbind<br>
/etc/pam.d/system-policy -&gt; system-policy-global<br>
/etc/pam.d/system-policy-global<br>
/etc/pam.d/system-policy-local<br>
<br>
Настройка system-policy Ñ€Ð°ÑÑˆÐ¸Ñ€ÑÐµÐ¼Ð°Ñ Ð¸ Ð²ÐºÐ»ÑŽÑ‡Ð°ÐµÑ‚ Ð² ÑÐµÐ±Ñ, Ð¿Ð¾ ÑƒÐ¼Ð¾Ð»Ñ‡Ð°Ð½Ð¸ÑŽ,<br>
две Ð¿Ð¾Ð»Ð¸Ñ‚ики - local Ð¸ global.<br>
<br>
~ # control system-policy help<br>
global: global session policy with mkhomedir<br>
local: local session policy<br>
~ # control system-policy summary<br>
system session policy type<br>
~ # control system-policy help<br>
global: global session policy with mkhomedir<br>
local: local session policy<br>
~ # control system-policy<br>
local<br>
<br>
По ÑÑƒÑ‚и, Ð¿ÐµÑ€Ð²Ð°Ñ Ð¾Ñ‚ Ð²Ñ‚орой Ð¾Ñ‚личается Ñ‚олько Ð¾Ð´Ð½Ð¸Ð¼ - Ð½Ð°Ð»Ð¸Ñ‡Ð¸ÐµÐ¼ Ð¼Ð¾Ð´ÑƒÐ»Ñ<br>
pam_mkhomedir.so<br>
<br>
~ # cat /etc/pam.d/system-policy-local<br>
#%PAM-1.0<br>
session  Â  Â  Â  Â required  Â  Â  Â  pam_mktemp.so<br>
session  Â  Â  Â  Â required  Â  Â  Â  pam_limits.so<br>
~ # cat /etc/pam.d/system-policy-global<br>
#%PAM-1.0<br>
session  Â  Â  Â  Â required  Â  Â  Â  pam_mktemp.so<br>
session  Â  Â  Â  Â required  Â  Â  Â  pam_mkhomedir.so silent<br>
session  Â  Â  Â  Â required  Â  Â  Â  pam_limits.so<br>
<br>
Ещё Ð¾Ð´Ð½Ð° Ð¾ÑÐ¾Ð±ÐµÐ½Ð½Ð¾ÑÑ‚ÑŒ - Ð¿Ñ€Ð¸ Ð¿ÐµÑ€ÐµÐºÐ»ÑŽÑ‡ÐµÐ½Ð¸Ð¸ system-auth Ñ local Ð½Ð° Ð»ÑŽÐ±ÑƒÑŽ<br>
другую - system-policy Ð°Ð²Ñ‚оматически Ð¿ÐµÑ€ÐµÐºÐ»ÑŽÑ‡Ð°ÐµÑ‚ся Ð½Ð° global Ð¸<br>
обратно:<br>
~ # control system-auth local<br>
~ # control system-policy<br>
local<br>
~ # control system-auth sss<br>
~ # control system-policy<br>
global<br>
<br>
Это Ð´ÐµÐ»Ð°ÐµÑ‚ Ð¿Ð¾Ð²ÐµÐ´ÐµÐ½Ð¸Ðµ Ð¿Ð¾ ÑƒÐ¼Ð¾Ð»Ñ‡Ð°Ð½Ð¸ÑŽ Ð°Ð½Ð°Ð»Ð¾Ð³Ð¸Ñ‡Ð½Ñ‹Ð¼ Ñ‚ому, ÐºÐ¾Ñ‚орое Ð±Ñ‹Ð»Ð¾<br>
раньше. ÐŸÑ€Ð¸ ÑÑ‚ом, ÐµÑÐ»Ð¸ system-policy Ð·Ð°Ð´Ð°Ð½Ð¾, Ñ‚о system-auth Ð²Ð¾Ð·Ð²Ñ€Ð°Ñ‰Ð°ÐµÑ‚<br>
system-policy Ð² Ð¸ÑÑ…одное Ñ‚олько Ð¿Ñ€Ð¸ Ð¿ÐµÑ€ÐµÐºÐ»ÑŽÑ‡ÐµÐ½Ð¸Ð¸ Ð½Ð° local, Ð½Ð¾ Ð½Ðµ<br>
наоборот:<br>
~ # control system-auth<br>
sss<br>
~ # control system-policy<br>
global<br>
~ # control system-auth local<br>
~ # control system-policy<br>
local<br>
<br>
~ # control system-policy test<br>
~ # control system-policy<br>
test<br>
~ # control system-auth krb5<br>
~ # control system-policy<br>
test<br>
~ # control system-auth sss<br>
~ # control system-policy<br>
test<br>
~ # control system-auth local<br>
~ # control system-policy<br>
local<br>
<br>
Для ÐºÐ¾Ð½Ñ„игураций, Ð³Ð´Ðµ Ð²Ð¼ÐµÑÑ‚о pam_mkhomedir.so Ð½ÑƒÐ¶Ð½Ð¾ Ð¸ÑÐ¿Ð¾Ð»ÑŒÐ·Ð¾Ð²Ð°Ñ‚ÑŒ<br>
pam_oddjob_mkhomedir (а ÑÑ‚о SELinux ÐºÐ¾Ð½Ñ„игурации, Ð² Ð¿ÐµÑ€Ð²ÑƒÑŽ Ð¾Ñ‡ÐµÑ€ÐµÐ´ÑŒ), Ð°<br>
также Ð´Ð»Ñ Ð¿Ñ€Ð¸Ð¼ÐµÐ½ÐµÐ½Ð¸Ñ Ñ‚ак Ð½Ð°Ð·Ñ‹Ð²Ð°ÐµÐ¼Ñ‹Ñ… Ð³Ñ€ÑƒÐ¿Ð¿Ð¾Ð²Ñ‹Ñ… Ð¿Ð¾Ð»Ð¸Ñ‚ик, Ð¼Ð¾Ð´ÑƒÐ»Ð¸<br>
system-policy Ð¿Ð»Ð°Ð½Ð¸Ñ€ÑƒÐµÑ‚ся ÑƒÑÑ‚анавливать Ð´Ð¾Ð¿Ð¾Ð»Ð½Ð¸Ñ‚ельно (аналогично<br>
тому, ÐºÐ°Ðº ÑÑ‚о Ð´ÐµÐ»Ð°ÐµÑ‚ся Ð´Ð»Ñ system-auth):<br>
~ # rpm -qf /etc/pam.d/system-auth-local<br>
pam-config-1.8.0-alt1.noarch<br>
~ # rpm -qf /etc/pam.d/system-auth-sss<br>
sssd-client-2.2.2-alt2.x86_64<br>
<br>
<br>
-- <br>
Sin (Sinelnikov Evgeny)<br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature">Sin (Sinelnikov Evgeny)</div></div>