Bug 2372 - по просьбе vserge: вариант system-auth с использованием pam_ldap
: по просьбе vserge: вариант system-auth с использованием pam_ldap
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/pam_ldap)
: unstable
: all Linux
: P4 enhancement
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2003-03-13 13:47 by
Modified: 2008-02-21 09:16 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2003-03-13 13:47:26
/etc/pam.d/system-auth
#%PAM-1.0
auth        sufficient  /lib/security/pam_tcb.so shadow fork nullok 
auth        required    /lib/security/pam_ldap.so use_first_pass 
account     required    /lib/security/pam_access.so
account     sufficient  /lib/security/pam_tcb.so shadow fork
account     required    /lib/security/pam_ldap.so
password    required    /lib/security/pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3
password    sufficient  /lib/security/pam_ldap.so use_authtok
password    required    /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb
session     required    /lib/security/pam_limits.so 
session     sufficient  /lib/security/pam_ldap.so 
session     required    /lib/security/pam_tcb.so nolog 

----------------------------------------------------------
/etc/pam.d/system-auth-use_first_pass
#%PAM-1.0
auth            sufficient      /lib/security/pam_tcb.so shadow fork nullok use_first_pass
auth            required        /lib/security/pam_ldap.so use_first_pass
password        sufficient      /lib/security/pam_ldap.so use_authtok
password        required        /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb

---

---
варианты рабочие, хотя конечно, возможны некоторые неточности
pam_mkhomedir не включен, поскольку он НЕ работает при входе через sshd, говорит Permission denied.
Судя по всему он делает setuid ДО того как обрабатывать секцию session и, следовательно, не может создать каталог в /home
------- Comment #1 From 2005-09-02 17:40:13 -------
На текущий момент pam_mkhomedir можно использовать в секции account и там он
работает.
Нужно будет включить это как пример в сборку pam_ldap...
------- Comment #2 From 2006-04-21 18:25:55 -------
надо придумать технология укладывания этого конфига в pam.d и перелючения. 
кто-нибудь видит проблемы с описанным в конце
http://wiki.sisyphus.ru/admin/LdapWinbindUsers вариантом - с симлинками и
переключением по control(8) ? 
------- Comment #3 From 2008-02-21 09:15:50 -------
Давно сделали control system-auth.

pam-config-control:
* Mon May 28 2007 Stanislav Ievlev <inger@altlinux> 1.4.0-alt1.1
- add support for ldap authentication