[sisyphus] Master 2.2 и LDAP
Denis S. Filimonov
=?iso-8859-1?q?den_=CE=C1_academ=2Eorg?=
Ср Мар 12 11:55:38 MSK 2003
12 Март 2003 12:39, Arcady V. Ivanov написал:
> Denis S. Filimonov пишет:
> >12 Март 2003 10:58, Arcady V. Ivanov написал:
> >>Denis S. Filimonov пишет:
> >>>12 Март 2003 10:14, Arcady V. Ivanov написал:
> >>>>Denis S. Filimonov пишет:
> >>>>>12 Март 2003 07:51, Arcady V. Ivanov написал:
> >>>>>>Denis S. Filimonov пишет:
> >>>>>>>>KDM, ssh прекрасно засасывают пароли из LDAP-сервера и
> >>>>>>>> пускают юзера на комп, а
> >>>>>>>>если регистрироваться login-ом на обычном /dev/ttyv1 - не
> >>>>>>>>пускает.
> >>>>>>>>
> >>>>>>>>Кто объяснит явление?
> >>>>>>>
> >>>>>>>Сравните содержимое файлов login, ssh, system-auth,
> >>>>>>>и system-auth-use_first_pass в каталоге/etc/pam.d/
> >>>>>>>скорее всего это обнаружит проблему. Если нет -- кидайте их
> >>>>>>>сюда.
> >>>>>>
> >>>>>>Не разобрался. Вот файлы из pam.d:
> >>>>>
> >>>>>Интересно, пароли-то берутся из tcb, pam_ldap там даже близко
> >>>>> нет, а имена юзеров/групп из LDAP (nss_ldap). Может между ними
> >>>>> есть несоответствия?
> >>>>>Еще в /etc/security/* могут быть какие-нибудь ограничения...
> >>>>
> >>>>Тогда почему sshd и kdm пускают?
> >>>
> >>>наверняка сказать трудно, а потенциальных причин может быть
> >>> много... например, в /etc/security/access.conf юзеру может быть
> >>> запрещено логиниться с локального терминала
> >>
> >>В access.conf есть только #
> >>Юзеры, которых я завожу через useradd, логинятся без проблем.
> >
> >в смысле и через login тоже?
>
> Именно через login.
>
> >и что написано в /etc/nsswitch.conf?
> >дело в том, что useradd в Master 2.0 не добавлял пользователей в
> > ldap, и едва ли он изменился, т.е. вновь создаваемые юзеры живут
> > целиком в tcb.
> >может дело в этом...
>
> Я и имею в виду, что для локальных юзеров регистрация
> естественно работает.
>
да, а для юзеров отсутствующих в tcb она работать не должна...
sshd наверно может обойтись ключом, а вот kdm... что-то тут не так :)
попробуйте в system-auth поставить
----------------------------------------------------------
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_tcb.so shadow fork
nullok
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_tcb.so shadow fork
password required /lib/security/pam_passwdqc.so
min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
random=42 enforce=users retry=3
password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
session optional /lib/security/pam_tcb.so
session required /lib/security/pam_limits.so
-----------------------------------------------------------
должен заработать login для пользователей в ldap, но passwd будет
пытаться сменить пароль в tcb
Подробная информация о списке рассылки Sisyphus