pptpd a PAM

[Michal Dobes]

Tomáš Koželuh napsal(a):
> Ahoj, potřeboval bych ověřovat uživatele přes PAM, respektive potřeboval
> bych ověřit uživatele, že existuje v doméně. Na internetu jsem našel postup
> přes Sambu, ale nechci, aby to PC bylo v doméně. Napadla mě tedy varianta
> PAM + Kerberos, ale nedokážu přijít na to, jak z pptpd zavolat autentizaci
> přes PAM nebo přímo přes Kerberos.
> Neřešil někdo něco podobnýho? Předem díky za odpovědi.

pptpd nijak neřeší jak ověřujete uživatele. pptpd jen balí PPP do GRE
tunelu, takže celé ověření je otázkou pppd démonka, kterého pptpd pustí.
V pppd se dá použít PAM pro ověřování uživatele (a patřičně třeba přes
pam_smb to ověřit proti doméně). Jo, jen takový detail, když se použije
PAM ověření, tak se musí použít PAP protokol pro ověření, což minimálně 
znamená, že vám heslo/jméno jde sítí zcela volně nešifrovaně a
v závislosti na verzi pppd daný tunel funguje pouze bez šifrování dat.
Takže pokud chcete, aby to fungovalo rozumně, tak potřebujete použít 
radiusclient, kterého umí pppd použít přes zásuvný modul radius.so
a součástí novějších Windows serverů je i radius server, takže není co
řešit. Jde to udělat i tak, že se použije freeradius na linuxu a teprve
freeradius si to ověřuje na windows serveru v doméně, ale to pak
požaduje běžící winbind a v podstatě členství v doméně.

M.