[Comm] Авторизация из /etc/passwd и ldap одновременно: как правильно?

[Denis S. Filimonov]

On Monday 19 April 2004 18:45, Eugene Prokopiev wrote:
> Denis S. Filimonov пишет:
> > On Monday 19 April 2004 14:08, Eugene Prokopiev wrote:
> >>system-auth-use_first_pass:
> >>
> >>#%PAM-1.0
> >>auth           sufficient      /lib/security/pam_ldap.so
> >
> > вот здесь пропущен "use_first_pass"
>
> да, только не здесь, а в system-auth. Уже воспользовался Вашим
> годичной давности советом из сизифовской рассылки :) Читал его и
> раньше, но дошел до того, что он мне пригодился, только сегодня :)
>
> >>2. su - могут использовать как ldap, так и
> >> /etc/passwd-пользователи, но для su - ldap-user пароль надо
> >> вводить один раз, а для su - passwd-user необходимо вводить пароль
> >> дважды:
> >
> > да, там тоже, видимо, надо подставить use_first_pass, чтобы оно не
> > спрашивало еще раз.
>
> нет, system-auth достаточно.
>
> Вот только самый главный вопрос остается открытым: а что я недокрутил
> в ssh?
мне кажется есть некоторая путаница между параметром "use_first_pass" и 
и файлом system-auth-use_first_pass
Поэтому нужно начать сначала, а именно с файлов /etc/pam.d/su 
и /etc/pam.d/sshd
Разница в том, что sshd использует pam_userpass и поэтому все 
последующие модули аутентификации должны иметь параметр 
"use_first_pass", и, следовательно, в файле system-auth-use_first_pass 
все auth модули (которым пароль вообще нужен) должны иметь параметр 
"use_first_pass". У Вас же в system-auth-use_first_pass стоит
auth           sufficient      /lib/security/pam_ldap.so
без "use_first_pass". Потому и не работает.

-- 
Sincerely,
Denis.