[Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?
Eugene Prokopiev
=?iso-8859-1?q?john_=CE=C1_rmts=2Edonpac=2Eru?=
Пн Апр 19 13:47:29 MSD 2004
>> Здравствуйте!
>>
>> Как сделать так, чтобы в системе могли авторизоваться пользователи,
>> прописанные как в /etc/passwd, так и в ldap?
>
> в devel обсуждали.
>
> проще всего имхо взять system-auth-winbind, скопировать его в system-auth-ldap
> и в нем заменить winbind на ldap., а слово system-auth на system-auth-tcb.
> это раз.
У меня в system-auth-winbind слово system-auth не встречается, а
выглядит он в оригинале так:
#%PAM-1.0
auth sufficient /lib/security/pam_winbind.so
auth required /lib/security/pam_tcb.so shadow fork nullok
account sufficient /lib/security/pam_winbind.so
account required /lib/security/pam_tcb.so shadow fork
password required /lib/security/pam_passwdqc.so
min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
random=42 enforce=users retry=3
password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/
umask=0022
session required /lib/security/pam_tcb.so
session required /lib/security/pam_limits.so
Т.е., это исправленный system-auth (довольно близкий к моему, фактически
единственная разница в pam_mkhomedir.so)
> далее нативный system-auth переименовать в system-auth-tcb.
> это два.
> и сделать симлинк system-auth ссылающийся на system-auth-ldap.
> это три.
Т.е., эти шаги - лишние, по крайней мере для ALM2.2, может в Сизифе это
и не так.
> результат: во все pam-конфиги ссылаются на system-auth, они его и получат. а
> мы его подменили лдаповским, в котором стоит: использовать ldap (в оригинале
> winbind), _и_ + system-auth-tcb, который обеспечит стандартную
> аутентификацию.
Да, наверное так будет правильнее: оставить system-auth таким, каким о и
был, а на него навесить враппер, но проблема не в этом.
Проблема в том, что меня не пускаю по ssh, какие конфиги и логи еще
показать, даже и не знаю.
--
С уважением, Прокопьев Евгений
Подробная информация о списке рассылки community