LDAP/PAM (?) problem
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Sobota Duben 19 15:10:19 CEST 2003
On 14 Apr 2003, Pavel Lisy wrote:
> > Nalogovat na jakeho uzivatele? Na toho pridaneho (tmapy)?
> Podivne je hlavne ze se tam prihlasim pres login
> tj. v textove konzole
> pres gdm taky
> pres "ssh -l tmapy localhost" taky
> ale nefunguje to pomoci "su - tmapy"
>
> pokud neni uzivatel tmapy, krome ldapu i v /etc/passwd.
>
> Kdyz je zaveden v /etc/passwd (a treba ani nema heslo v /etc/shadow),
> tak se prihlasit lze.
To je opravdu zajimave. Z te hlasky v logu se zda, ze se vzteka pam_unix.
Ovsem to, ze je koren problemu v nize zminene diskrepanci v system-auth,
je zase malo pravdepodobne, protoze sshd urcite provadi auth, account
i session (tedy aspon pokud v nem PAM funguje spravne).
Asi by to chtelo se do zdrojaku pouzite verze pam_unix podivat, co presne
znamena hlaska "check pass: user unknown".
> > Mate neco jako nss_ldap, aby byli uzivatele v LDAP videt z funkci
> > getpwnam() et al? Pokud ne, tak to pam_unix zjevne nerozchodi.
>
> Ja doufam, ze to mam. Bohuzel se v problematice jeste presne
> neorientuji, ale prikladam nastaveni, o kterych si myslim, ze s tim maji
> neco spolecneho:
>
> Obsah souboru v /etc/pam.d/
To byl spis dotaz na obsah /etc/nsswitch.conf
Nicmene kdyz tady furt vytahujete tem /etc/pam.d/system-auth...
Pripada mi zvlastni, ze pro autentizaci a zmenu hesla je pam_unix
sufficient, zatimco pro account a session je required:
> auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
> account required /lib/security/$ISA/pam_unix.so \
> password sufficient /lib/security/$ISA/pam_unix.so nullok \
> use_authtok md5 shadow
> session required /lib/security/$ISA/pam_unix.so
A vubec, ten backslash u account je take divny, nasledovala po nem hned
radka pro pam_ldap...pri opisovani se neco ztratilo?
> > Mate neco jako nss_ldap, aby byli uzivatele v LDAP videt z funkci
> > getpwnam() et al? Pokud ne, tak to pam_unix zjevne nerozchodi.
>
> Jak mohu zjistit co dana funkce vraci, bez programovani v C? Moc bych to
> chtel nejak zjistit, ale nevim, jak to problem rozlozit na prvocinitele
> a zjistit puvodce problemu.
Treba "id UZIVATEL".
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux