URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 59491
[ Назад ]
Исходное сообщение
"Pam_ldap"
Отправлено bromantik , 26-Авг-05 09:34 
Объясните пожалуйста, как побороть желание pam_ldap иметь записи в /etc/passwd...
То есть, у меня в /etc/pam.d для всех сервисов прописан pam_ldap
в /etc/nsswitch.conf прописан ldap...
Лдаповские пользователи в системе видны...
Как только пытаюсь авторизоваться посредством pam_ldap, происходит облом...
Добавляю в /etc/passwd запись для пользователя (но без пароля), пробую снова... вуаля, пускает...
То есть pam_ldap берет пароль из openldap...

Проблема вроде как известная, но решения я не нашел....
Система FreeBSD.
Заранее спасибо

Содержание
Сообщения в этом обсуждении
"Pam_ldap"
Отправлено eleo , 26-Авг-05 11:44 
>Объясните пожалуйста, как побороть желание pam_ldap иметь записи в /etc/passwd...
>То есть, у меня в /etc/pam.d для всех сервисов прописан pam_ldap
>в /etc/nsswitch.conf прописан ldap...
>Лдаповские пользователи в системе видны...
>Как только пытаюсь авторизоваться посредством pam_ldap, происходит облом...
>Добавляю в /etc/passwd запись для пользователя (но без пароля), пробую снова... вуаля,
>пускает...
>То есть pam_ldap берет пароль из openldap...
>
>Проблема вроде как известная, но решения я не нашел....
>Система FreeBSD.
>Заранее спасибо

А конфиги pam и nss настроил?

"Pam_ldap"
Отправлено bromantik , 26-Авг-05 12:13 
>>Объясните пожалуйста, как побороть желание pam_ldap иметь записи в /etc/passwd...
>>То есть, у меня в /etc/pam.d для всех сервисов прописан pam_ldap
>>в /etc/nsswitch.conf прописан ldap...
>>Лдаповские пользователи в системе видны...
>>Как только пытаюсь авторизоваться посредством pam_ldap, происходит облом...
>>Добавляю в /etc/passwd запись для пользователя (но без пароля), пробую снова... вуаля,
>>пускает...
>>То есть pam_ldap берет пароль из openldap...
>>
>>Проблема вроде как известная, но решения я не нашел....
>>Система FreeBSD.
>>Заранее спасибо
>
>А конфиги pam и nss настроил?

да, он у них один. Судя по мануалам, отдельно для pam ничего настраивать не надо...
Да и getpw спокойно вываливает мне всех юзеров, которых в системе нет, есть в лдапе

"Pam_ldap"
Отправлено bromantik , 26-Авг-05 12:42 
Поглядел логи....
pam_ldap биндится к опенлдапу как анонимус и ессесно нифига не получает...
Вопрос в другом... nss_ldap работает нормально, а pam_ldap нет??? с одним и тем же конфигом?

"Pam_ldap"
Отправлено eleo , 26-Авг-05 12:54 
>Поглядел логи....
>pam_ldap биндится к опенлдапу как анонимус и ессесно нифига не получает...
>Вопрос в другом... nss_ldap работает нормально, а pam_ldap нет??? с одним и
>тем же конфигом?

в конфигах pam и nss (или в их общем не знаю как в бсд) есть параметр binddn и bindpw, определяющие от какого пользователя биндиться.

"Pam_ldap"
Отправлено bromantik , 26-Авг-05 13:01 
>>Поглядел логи....
>>pam_ldap биндится к опенлдапу как анонимус и ессесно нифига не получает...
>>Вопрос в другом... nss_ldap работает нормально, а pam_ldap нет??? с одним и
>>тем же конфигом?
>
>в конфигах pam и nss (или в их общем не знаю как
>в бсд) есть параметр binddn и bindpw, определяющие от какого пользователя
>биндиться.
Уважаемы Eleo, не поверите, толькочто нашел этот момент... в nss_ldap прописан rootbinddn (так как все время от рута), а вот в pam_ldap binddn надо прописать, сейчас занялся прописыванием, но что-то мне уже не верится, что заработает...

"Pam_ldap"
Отправлено bromantik , 26-Авг-05 13:04 
>>>Поглядел логи....
>>>pam_ldap биндится к опенлдапу как анонимус и ессесно нифига не получает...
>>>Вопрос в другом... nss_ldap работает нормально, а pam_ldap нет??? с одним и
>>>тем же конфигом?
>>
>>в конфигах pam и nss (или в их общем не знаю как
>>в бсд) есть параметр binddn и bindpw, определяющие от какого пользователя
>>биндиться.
>Уважаемы Eleo, не поверите, толькочто нашел этот момент... в nss_ldap прописан rootbinddn
>(так как все время от рута), а вот в pam_ldap binddn
>надо прописать, сейчас занялся прописыванием, но что-то мне уже не верится,
>что заработает...

Тут еще подозреваю путанницу с индексами... уже было у меня, что прописываю индекс и именно по этому аттрибуту перестает искать :%)

"Pam_ldap"
Отправлено eleo , 26-Авг-05 13:26 
>Тут еще подозреваю путанницу с индексами... уже было у меня, что прописываю
>индекс и именно по этому аттрибуту перестает искать :%)

slapindex

"Pam_ldap"
Отправлено bromantik , 26-Авг-05 14:43 
>>Тут еще подозреваю путанницу с индексами... уже было у меня, что прописываю
>>индекс и именно по этому аттрибуту перестает искать :%)
>
>slapindex

Меняю конфиг, ничего не меняется в поведении pam_ldap...
Как узнать, где он ищет свой конфиг???

"Pam_ldap"
Отправлено bromantik , 26-Авг-05 15:01 
в общем пора сдаваться...
логинюсь по фтп... В логах вываливается, что происходит бинд под анонимусом и ищется такая-то запись, ничего не находим...
По ssh ... Бинд под указанным аккаунтом, запись найдена, не пускаю...
"Pam_ldap"
Отправлено eleo , 26-Авг-05 16:09 
>в общем пора сдаваться...
>логинюсь по фтп... В логах вываливается, что происходит бинд под анонимусом и
>ищется такая-то запись, ничего не находим...
>По ssh ... Бинд под указанным аккаунтом, запись найдена, не пускаю...

покажи свой конфиг

"Pam_ldap"
Отправлено bromantik , 29-Авг-05 07:41 
>>в общем пора сдаваться...
>>логинюсь по фтп... В логах вываливается, что происходит бинд под анонимусом и
>>ищется такая-то запись, ничего не находим...
>>По ssh ... Бинд под указанным аккаунтом, запись найдена, не пускаю...
>
>покажи свой конфиг

BASE    dc=ldap

SIZELIMIT       12
TIMELIMIT       15
DEREF           never

host localhost
rootbinddn cn=admin,dc=ldap
binddn cn=admin,dc=ldap
bindpw="123456"
pam_filter objectclass=posixAccount
pam_login_attribute uid
nss_base_passwd ou=People,dc=ldap?sub
nss_base_group ou=Group,dc=ldap?sub?objectClass=posixGroup
ssl no
pam_password md5

Если выполнять поиск вручную, то запись о пользователе находится...