[Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?

Eugene Prokopiev =?iso-8859-1?q?john_=CE=C1_rmts=2Edonpac=2Eru?=
Пн Апр 19 13:47:29 MSD 2004


>> Здравствуйте!
>>
>> Как сделать так, чтобы в системе могли авторизоваться пользователи,
>> прописанные как в /etc/passwd, так и в ldap?
> 
> в devel обсуждали.
> 
> проще всего имхо взять system-auth-winbind, скопировать его в system-auth-ldap 
> и в нем заменить winbind на ldap., а слово system-auth на system-auth-tcb.
> это раз.

У меня в system-auth-winbind слово system-auth не встречается, а 
выглядит он в оригинале так:

#%PAM-1.0
auth    sufficient      /lib/security/pam_winbind.so
auth    required        /lib/security/pam_tcb.so shadow fork nullok
account sufficient      /lib/security/pam_winbind.so
account required        /lib/security/pam_tcb.so shadow fork
password        required        /lib/security/pam_passwdqc.so 
min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny 
random=42 enforce=users retry=3
password        required        /lib/security/pam_tcb.so use_authtok 
shadow fork prefix=$2a$ count=8 write_to=tcb
session required        /lib/security/pam_mkhomedir.so skel=/etc/skel/ 
umask=0022
session required        /lib/security/pam_tcb.so
session required        /lib/security/pam_limits.so

Т.е., это исправленный system-auth (довольно близкий к моему, фактически 
единственная разница в pam_mkhomedir.so)

> далее нативный system-auth переименовать в system-auth-tcb.
> это два.
> и сделать симлинк system-auth ссылающийся на system-auth-ldap.
> это три.

Т.е., эти шаги - лишние, по крайней мере для ALM2.2, может в Сизифе это 
и не так.

> результат: во все pam-конфиги ссылаются на system-auth, они его и получат. а 
> мы его подменили лдаповским, в котором стоит: использовать ldap (в оригинале 
> winbind), _и_ + system-auth-tcb, который обеспечит стандартную 
> аутентификацию.

Да, наверное так будет правильнее: оставить system-auth таким, каким о и 
был, а на него навесить враппер, но проблема не в этом.

Проблема в том, что меня не пускаю по ssh, какие конфиги и логи еще 
показать, даже и не знаю.

-- 
С уважением, Прокопьев Евгений




Подробная информация о списке рассылки community