Bug 2372

Summary: по просьбе vserge: вариант system-auth с использованием pam_ldap
Product: Sisyphus Reporter: den <denf>
Component: pam_ldapAssignee: Serge A. Volkov <vserge>
Status: CLOSED FIXED QA Contact:
Severity: enhancement    
Priority: P4 CC: boyarsh, gns, imz, klark, ldv, mike, shaba, slev, vitty, viy
Version: unstable   
Hardware: all   
OS: Linux   

Description den 2003-03-13 13:47:26 MSK 
/etc/pam.d/system-auth
#%PAM-1.0
auth        sufficient  /lib/security/pam_tcb.so shadow fork nullok 
auth        required    /lib/security/pam_ldap.so use_first_pass 
account     required    /lib/security/pam_access.so
account     sufficient  /lib/security/pam_tcb.so shadow fork
account     required    /lib/security/pam_ldap.so
password    required    /lib/security/pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3
password    sufficient  /lib/security/pam_ldap.so use_authtok
password    required    /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb
session     required    /lib/security/pam_limits.so 
session     sufficient  /lib/security/pam_ldap.so 
session     required    /lib/security/pam_tcb.so nolog 

----------------------------------------------------------
/etc/pam.d/system-auth-use_first_pass
#%PAM-1.0
auth            sufficient      /lib/security/pam_tcb.so shadow fork nullok use_first_pass
auth            required        /lib/security/pam_ldap.so use_first_pass
password        sufficient      /lib/security/pam_ldap.so use_authtok
password        required        /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb

---

---
варианты рабочие, хотя конечно, возможны некоторые неточности
pam_mkhomedir не включен, поскольку он НЕ работает при входе через sshd, говорит Permission denied.
Судя по всему он делает setuid ДО того как обрабатывать секцию session и, следовательно, не может создать каталог в /home
Comment 1 Eugene Ostapets 2005-09-02 17:40:13 MSD 
На текущий момент pam_mkhomedir можно использовать в секции account и там он
работает.
Нужно будет включить это как пример в сборку pam_ldap...
Comment 2 Nick S. Grechukh 2006-04-21 18:25:55 MSD 
надо придумать технология укладывания этого конфига в pam.d и перелючения. 
кто-нибудь видит проблемы с описанным в конце
http://wiki.sisyphus.ru/admin/LdapWinbindUsers вариантом - с симлинками и
переключением по control(8) ?
Comment 3 Vladimir V. Kamarzin 2008-02-21 09:15:50 MSK 
Давно сделали control system-auth.

pam-config-control:
* Mon May 28 2007 Stanislav Ievlev <inger@altlinux> 1.4.0-alt1.1
- add support for ldap authentication