#2372 – по просьбе vserge: вариант system-auth с использованием pam_ldap

Bug 2372 - по просьбе vserge: вариант system-auth с использованием pam_ldap

Summary: по просьбе vserge: вариант system-auth с использованием pam_ldap

Status:	CLOSED FIXED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	pam_ldap (show other bugs)
Version:	unstable
Hardware:	all Linux

Importance:	P4 enhancement
Assignee:	Serge A. Volkov
QA Contact:

URL:
Keywords:

Depends on:
Blocks:

Reported:	2003-03-13 13:47 MSK by den
Modified:	2008-02-21 09:16 MSK (History)
CC List:	10 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description den 2003-03-13 13:47:26 MSK

/etc/pam.d/system-auth
#%PAM-1.0
auth        sufficient  /lib/security/pam_tcb.so shadow fork nullok 
auth        required    /lib/security/pam_ldap.so use_first_pass 
account     required    /lib/security/pam_access.so
account     sufficient  /lib/security/pam_tcb.so shadow fork
account     required    /lib/security/pam_ldap.so
password    required    /lib/security/pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3
password    sufficient  /lib/security/pam_ldap.so use_authtok
password    required    /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb
session     required    /lib/security/pam_limits.so 
session     sufficient  /lib/security/pam_ldap.so 
session     required    /lib/security/pam_tcb.so nolog 

----------------------------------------------------------
/etc/pam.d/system-auth-use_first_pass
#%PAM-1.0
auth            sufficient      /lib/security/pam_tcb.so shadow fork nullok use_first_pass
auth            required        /lib/security/pam_ldap.so use_first_pass
password        sufficient      /lib/security/pam_ldap.so use_authtok
password        required        /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb

---

---
варианты рабочие, хотя конечно, возможны некоторые неточности
pam_mkhomedir не включен, поскольку он НЕ работает при входе через sshd, говорит Permission denied.
Судя по всему он делает setuid ДО того как обрабатывать секцию session и, следовательно, не может создать каталог в /home

Comment 1 Eugene Ostapets 2005-09-02 17:40:13 MSD

На текущий момент pam_mkhomedir можно использовать в секции account и там он
работает.
Нужно будет включить это как пример в сборку pam_ldap...

Comment 2 Nick S. Grechukh 2006-04-21 18:25:55 MSD

надо придумать технология укладывания этого конфига в pam.d и перелючения. 
кто-нибудь видит проблемы с описанным в конце
http://wiki.sisyphus.ru/admin/LdapWinbindUsers вариантом - с симлинками и
переключением по control(8) ?

Comment 3 Vladimir V. Kamarzin 2008-02-21 09:15:50 MSK

Давно сделали control system-auth.

pam-config-control:
* Mon May 28 2007 Stanislav Ievlev <inger@altlinux> 1.4.0-alt1.1
- add support for ldap authentication