Хочу использовать Winbind для pop, чтобы почтовый клиент проверял свой пароль посредством pam_winbind из домена W2K.Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?
>Хочу использовать Winbind для pop, чтобы почтовый клиент проверял свой пароль
>посредством pam_winbind из домена W2K.
>
>Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?
>Winbind думаю :) работает нормально.
1) getent passwd - даёт NT пользователей и локальных
2) getent group - даёт NT группы и локальныхДля pop3d в /etc/pam.d/pop3d прописал
auth sufficient /lib/security/pam_winbind.so
auth required /lib/security/pam_unix.so nullok use_first_pass
account required /lib/security/pam_winbind.so
password required /lib/security/pam_unix.so
session required /lib/security/pam_unix.so
Получаю в /val/log/messages следующее
Jan 25 17:42:17 preceptor pam_winbind[27451]: Could not retrieve user's password
Jan 25 17:42:17 preceptor popa3d[27451]: Authentication failed for sharov
Кстати никто не знает, что это может быть
Jan 25 17:41:13 preceptor winbindd[32459]: kerberos_kinit_password HOST/precep
tor@OSB7799.BANK failed: Clock skew too great
Это встречается, но с опросом pop3d не связано.
>>Хочу использовать Winbind для pop, чтобы почтовый клиент проверял свой пароль
>>посредством pam_winbind из домена W2K.
>>
>>Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?
>>
>
>Winbind думаю :) работает нормально.
>1) getent passwd - даёт NT пользователей и локальных
>2) getent group - даёт NT группы и локальных
>
>Для pop3d в /etc/pam.d/pop3d прописал
>
>auth
>sufficient /lib/security/pam_winbind.so
>auth
>required /lib/security/pam_unix.so nullok use_first_pass
>
>account required
> /lib/security/pam_winbind.so
>password required
> /lib/security/pam_unix.so
>session required
> /lib/security/pam_unix.so
>
>
>Получаю в /val/log/messages следующее
>Jan 25 17:42:17 preceptor pam_winbind[27451]: Could not retrieve user's password
>Jan 25 17:42:17 preceptor popa3d[27451]: Authentication failed for sharov
>
>
>Кстати никто не знает, что это может быть
>Jan 25 17:41:13 preceptor winbindd[32459]: kerberos_kinit_password HOST/precep
>tor@OSB7799.BANK failed: Clock skew too great
Собственно это не хорошо, значит Kerberos не может запросить пароли и юзеров, из-за того что на Linuxе и на Windowse время слишком сильно расходиться. Синхронизируй время.
>
>
>Это встречается, но с опросом pop3d не связано.
>>Кстати никто не знает, что это может быть
>>Jan 25 17:41:13 preceptor winbindd[32459]: kerberos_kinit_password HOST/precep
>>tor@OSB7799.BANK failed: Clock skew too great
>Собственно это не хорошо, значит Kerberos не может запросить пароли и юзеров,
>из-за того что на Linuxе и на Windowse время слишком сильно
>расходиться. Синхронизируй время.Спасибо.
Вообщем, оно для авторизации погоды не делало, но время действительно было разным.А Вы Winbind-ом не баловались?
А то почтовый сервер стоит, а заводить уч. записи на Линухе в лом, тем более что авторизацию можно Winbind-ом настроить.
Может есть вариант, вообще в /etc/pam.d/pop3d авторизацию не делать (у меня глухая интранет), например, пустой пароль или пароль имя клиена. Читал что можно собственный pam модуль написать, но времени разбираться нету, ещё куча проблем.
>>Хочу использовать Winbind для pop, чтобы почтовый клиент проверял свой пароль
>>посредством pam_winbind из домена W2K.
>>
>>Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?
>>
>
>Winbind думаю :) работает нормально.
>1) getent passwd - даёт NT пользователей и локальных
>2) getent group - даёт NT группы и локальных
>
>Для pop3d в /etc/pam.d/pop3d прописал
>
>auth
>sufficient /lib/security/pam_winbind.so
>auth
>required /lib/security/pam_unix.so nullok use_first_pass
>
>account required
> /lib/security/pam_winbind.so
>password required
> /lib/security/pam_unix.so
>session required
> /lib/security/pam_unix.so
>
>
>Получаю в /val/log/messages следующее
>Jan 25 17:42:17 preceptor pam_winbind[27451]: Could not retrieve user's password
>Jan 25 17:42:17 preceptor popa3d[27451]: Authentication failed for sharov
>
>
>Кстати никто не знает, что это может быть
>Jan 25 17:41:13 preceptor winbindd[32459]: kerberos_kinit_password HOST/precep
>tor@OSB7799.BANK failed: Clock skew too great
>
>
>Это встречается, но с опросом pop3d не связано.
Делал авторизацию радиуса через винбинд на FreeBSD.
в pam.conf
radiusd auth required /usr/local/lib/pam_winbind.so
radiusd account required pam_permit.soДля линуха соответственно первый столбец не нужен.
>>>Хочу использовать Winbind для pop, чтобы почтовый клиент проверял свой пароль
>>>посредством pam_winbind из домена W2K.
>>>
>>>Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?
>>>
>>
>>Winbind думаю :) работает нормально.
>>1) getent passwd - даёт NT пользователей и локальных
>>2) getent group - даёт NT группы и локальных
>>
>>Для pop3d в /etc/pam.d/pop3d прописал
>>
>>auth
>>sufficient /lib/security/pam_winbind.so
>>auth
>>required /lib/security/pam_unix.so nullok use_first_pass
>>
>>account required
>> /lib/security/pam_winbind.so
>>password required
>> /lib/security/pam_unix.so
>>session required
>> /lib/security/pam_unix.so
>>
>>
>>Получаю в /val/log/messages следующее
>>Jan 25 17:42:17 preceptor pam_winbind[27451]: Could not retrieve user's password
>>Jan 25 17:42:17 preceptor popa3d[27451]: Authentication failed for sharov
>>
>>
>>Кстати никто не знает, что это может быть
>>Jan 25 17:41:13 preceptor winbindd[32459]: kerberos_kinit_password HOST/precep
>>tor@OSB7799.BANK failed: Clock skew too great
>>
>>
>>Это встречается, но с опросом pop3d не связано.
>
>
>Делал авторизацию радиуса через винбинд на FreeBSD.
>в pam.conf
>radiusd auth
> required /usr/local/lib/pam_winbind.so
>radiusd account required
> pam_permit.so
>
>Для линуха соответственно первый столбец не нужен.Уже давно существует служба nsswitch, в ней прописываешь, чтобы она пользовалась winbindd и ничего нигде больше править не надо, для остального Линуха абсолютно прозрачно.
>Уже давно существует служба nsswitch, в ней прописываешь, чтобы она пользовалась winbindd
>и ничего нигде больше править не надо, для остального Линуха абсолютно
>прозрачно.
Я, конечно, могу, что-то не понимать, но nsswitch я настраивал, т.к это
необходимое условие, чтобы winbind работал.Может я, что-то усложняю, но у каждой службы есть свой pam конфиг, и тем
службам которые авторизуются через домен nt мне пришлось вписывать в pam
конфиг winbind авторизацию. По существующим примерам, я разрешил авторизацию
службы telnet, screensaver, ssh и т.д. А для sendmail не было примера pam. А так как я не очень понимаю pam,то не могу правильно (без примера) создать pam для этой службы с авторизацией в winbind.
Делал такую вещь на двух FreeBSD.
cat /etc/pam.d/pop3
auth sufficient pam_winbind.so
auth required pam_unix.so no_warn try_first_passВсё прекрасно работает. qpopper авторизует юзеров в домене, sendmail проверяет правильность юзера в домене.
>Хочу использовать Winbind для pop, чтобы почтовый клиент проверял свой пароль
>посредством pam_winbind из домена W2K.
>
>Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?
>
>
можно еще настроить cyrus-sasl на winbind
после этого через cyrus-sasl можно и sendmail завести и докучи всего
Задался такой целью... а информации очень мало./etc/pam.d/pop3
auth sufficient pam_winbind.so
auth required pam_unix.so no_warn try_first_pass/etc/nsswitch.conf
group: compat
group_compat: nis
hosts: files dns
networks: files
passwd: compat
passwd_compat: nis
shells: files
passwd: files winbind
group: files winbind
а в tail /var/log/messages
-----для qpopper ----
Nov 19 00:17:28 sigma qpopper[1223]: dolgovav at ws.***.od.ua (192.168.30.210): -ERR [AUTH] Password supplied for "user" is incorrect.
Nov 19 00:17:28 sigma qpopper[1223]: [AUTH] Failed attempted login to user from host (ws.***.od.ua) 192.168.30.210
Nov 19 00:17:44 sigma qpopper[1224]: user at ws.***.od.ua (192.168.30.210): -ERR [AUTH] Password supplied for "user" ncorrect.
Nov 19 00:17:44 sigma qpopper[1224]: [AUTH] Failed attempted login to user from host (ws.***.od.ua) 192.168.30.210
-----для popa3d ----
Nov 19 00:18:06 sigma popa3d[1227]: Authentication failed for user
Nov 19 00:18:07 sigma popa3d[1229]: Authentication failed for user
Nov 19 00:18:14 sigma popa3d[1231]: Authentication failed for user
Nov 19 00:18:25 sigma popa3d[1233]: Authentication failed for exampledomain+userда и по ssh тоже не пусчает...
причем система работает... сквид авторизует из АД.
kinit и wbinfo отрабатывают....Подскажите в чем дело... а то задумка хорошая... только непонятно где грабли.
У меня в /etc/nsswitch.conf
passwd: files winbind
group: files winbindМожет в этом грабли?
Ну и может твой qpopper скомпилирован без поддержки pam?