LDAP/PAM (?) problem

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Sobota Duben 19 15:10:19 CEST 2003 

On 14 Apr 2003, Pavel Lisy wrote:

> > Nalogovat na jakeho uzivatele? Na toho pridaneho (tmapy)?
> Podivne je hlavne ze se tam prihlasim pres login 
> tj. v textove konzole
> pres gdm taky
> pres "ssh -l tmapy localhost" taky
> ale nefunguje to pomoci "su - tmapy"
> 
> pokud neni uzivatel tmapy, krome ldapu i v /etc/passwd.
> 
> Kdyz je zaveden v /etc/passwd (a treba ani nema heslo v /etc/shadow),
> tak se prihlasit lze.

To je opravdu zajimave. Z te hlasky v logu se zda, ze se vzteka pam_unix.
Ovsem to, ze je koren problemu v nize zminene diskrepanci v system-auth,
je zase malo pravdepodobne, protoze sshd urcite provadi auth, account
i session (tedy aspon pokud v nem PAM funguje spravne).

Asi by to chtelo se do zdrojaku pouzite verze pam_unix podivat, co presne
znamena hlaska "check pass: user unknown".

> > Mate neco jako nss_ldap, aby byli uzivatele v LDAP videt z funkci
> > getpwnam() et al? Pokud ne, tak to pam_unix zjevne nerozchodi.
> 
> Ja doufam, ze to mam. Bohuzel se v problematice jeste presne
> neorientuji, ale prikladam nastaveni, o kterych si myslim, ze s tim maji
> neco spolecneho:
> 
> Obsah souboru v /etc/pam.d/

To byl spis dotaz na obsah /etc/nsswitch.conf
Nicmene kdyz tady furt vytahujete tem /etc/pam.d/system-auth...
Pripada mi zvlastni, ze pro autentizaci a zmenu hesla je pam_unix
sufficient, zatimco pro account a session je required:

> auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
> account     required      /lib/security/$ISA/pam_unix.so \
> password    sufficient    /lib/security/$ISA/pam_unix.so nullok \
> use_authtok md5 shadow
> session     required      /lib/security/$ISA/pam_unix.so

A vubec, ten backslash u account je take divny, nasledovala po nem hned
radka pro pam_ldap...pri opisovani se neco ztratilo?

> > Mate neco jako nss_ldap, aby byli uzivatele v LDAP videt z funkci
> > getpwnam() et al? Pokud ne, tak to pam_unix zjevne nerozchodi.
> 
> Jak mohu zjistit co dana funkce vraci, bez programovani v C? Moc bych to
> chtel nejak zjistit, ale nevim, jak to problem rozlozit na prvocinitele
> a zjistit puvodce problemu.

Treba "id UZIVATEL".

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

Další informace o konferenci Linux