URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 219
[ Назад ]

Исходное сообщение
"Хочу использовать Winbind  для pop"

Отправлено SergeySharov , 23-Янв-05 22:39 
Хочу использовать Winbind  для pop, чтобы почтовый клиент проверял свой пароль посредством pam_winbind из домена W2K.

Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?


Содержание

Сообщения в этом обсуждении
"Хочу использовать Winbind  для pop"
Отправлено SergeySharov , 25-Янв-05 17:46 
>Хочу использовать Winbind  для pop, чтобы почтовый клиент проверял свой пароль
>посредством pam_winbind из домена W2K.
>
>Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?
>

Winbind думаю :) работает нормально.
1) getent passwd - даёт NT пользователей и локальных
2) getent group - даёт NT группы и локальных

Для pop3d в /etc/pam.d/pop3d прописал

auth            sufficient      /lib/security/pam_winbind.so
auth            required        /lib/security/pam_unix.so nullok use_first_pass
account         required        /lib/security/pam_winbind.so
password        required        /lib/security/pam_unix.so
session         required        /lib/security/pam_unix.so


Получаю в /val/log/messages следующее
Jan 25 17:42:17 preceptor pam_winbind[27451]: Could not retrieve user's password
Jan 25 17:42:17 preceptor popa3d[27451]: Authentication failed for sharov


Кстати никто не знает, что это может быть
Jan 25 17:41:13 preceptor winbindd[32459]:   kerberos_kinit_password HOST/precep
tor@OSB7799.BANK failed: Clock skew too great


Это встречается, но с опросом pop3d не связано.



"Хочу использовать Winbind  для pop"
Отправлено 4tune , 28-Янв-05 15:24 
>>Хочу использовать Winbind  для pop, чтобы почтовый клиент проверял свой пароль
>>посредством pam_winbind из домена W2K.
>>
>>Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?
>>
>
>Winbind думаю :) работает нормально.
>1) getent passwd - даёт NT пользователей и локальных
>2) getent group - даёт NT группы и локальных
>
>Для pop3d в /etc/pam.d/pop3d прописал
>
>auth            
>sufficient      /lib/security/pam_winbind.so
>auth            
>required        /lib/security/pam_unix.so nullok use_first_pass
>
>account         required  
>     /lib/security/pam_winbind.so
>password        required    
>    /lib/security/pam_unix.so
>session         required  
>     /lib/security/pam_unix.so
>
>
>Получаю в /val/log/messages следующее
>Jan 25 17:42:17 preceptor pam_winbind[27451]: Could not retrieve user's password
>Jan 25 17:42:17 preceptor popa3d[27451]: Authentication failed for sharov
>
>
>Кстати никто не знает, что это может быть
>Jan 25 17:41:13 preceptor winbindd[32459]:   kerberos_kinit_password HOST/precep
>tor@OSB7799.BANK failed: Clock skew too great
Собственно это не хорошо, значит Kerberos не может запросить пароли и юзеров, из-за того что на Linuxе и на Windowse время слишком сильно расходиться. Синхронизируй время.
>
>
>Это встречается, но с опросом pop3d не связано.



"Хочу использовать Winbind  для pop"
Отправлено SergeySharov , 02-Фев-05 05:14 
>>Кстати никто не знает, что это может быть
>>Jan 25 17:41:13 preceptor winbindd[32459]:   kerberos_kinit_password HOST/precep
>>tor@OSB7799.BANK failed: Clock skew too great
>Собственно это не хорошо, значит Kerberos не может запросить пароли и юзеров,
>из-за того что на Linuxе и на Windowse время слишком сильно
>расходиться. Синхронизируй время.

Спасибо.
Вообщем, оно для авторизации погоды не делало, но время действительно было разным.

А Вы Winbind-ом не баловались?

А то почтовый сервер стоит, а заводить уч. записи на Линухе в лом, тем более что авторизацию можно Winbind-ом настроить.

Может есть вариант, вообще в /etc/pam.d/pop3d авторизацию не делать (у меня глухая интранет), например, пустой пароль или пароль имя клиена. Читал что можно собственный pam модуль написать, но времени разбираться нету, ещё куча проблем.


"Хочу использовать Winbind  для pop"
Отправлено xammep , 17-Май-05 19:50 
>>Хочу использовать Winbind  для pop, чтобы почтовый клиент проверял свой пароль
>>посредством pam_winbind из домена W2K.
>>
>>Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?
>>
>
>Winbind думаю :) работает нормально.
>1) getent passwd - даёт NT пользователей и локальных
>2) getent group - даёт NT группы и локальных
>
>Для pop3d в /etc/pam.d/pop3d прописал
>
>auth            
>sufficient      /lib/security/pam_winbind.so
>auth            
>required        /lib/security/pam_unix.so nullok use_first_pass
>
>account         required  
>     /lib/security/pam_winbind.so
>password        required    
>    /lib/security/pam_unix.so
>session         required  
>     /lib/security/pam_unix.so
>
>
>Получаю в /val/log/messages следующее
>Jan 25 17:42:17 preceptor pam_winbind[27451]: Could not retrieve user's password
>Jan 25 17:42:17 preceptor popa3d[27451]: Authentication failed for sharov
>
>
>Кстати никто не знает, что это может быть
>Jan 25 17:41:13 preceptor winbindd[32459]:   kerberos_kinit_password HOST/precep
>tor@OSB7799.BANK failed: Clock skew too great
>
>
>Это встречается, но с опросом pop3d не связано.


Делал авторизацию радиуса через винбинд на FreeBSD.
в pam.conf
radiusd     auth        required    /usr/local/lib/pam_winbind.so
radiusd     account     required    pam_permit.so

Для линуха соответственно первый столбец не нужен.


"Хочу использовать Winbind  для pop"
Отправлено DejaVu , 26-Сен-05 12:29 
>>>Хочу использовать Winbind  для pop, чтобы почтовый клиент проверял свой пароль
>>>посредством pam_winbind из домена W2K.
>>>
>>>Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?
>>>
>>
>>Winbind думаю :) работает нормально.
>>1) getent passwd - даёт NT пользователей и локальных
>>2) getent group - даёт NT группы и локальных
>>
>>Для pop3d в /etc/pam.d/pop3d прописал
>>
>>auth            
>>sufficient      /lib/security/pam_winbind.so
>>auth            
>>required        /lib/security/pam_unix.so nullok use_first_pass
>>
>>account         required  
>>     /lib/security/pam_winbind.so
>>password        required    
>>    /lib/security/pam_unix.so
>>session         required  
>>     /lib/security/pam_unix.so
>>
>>
>>Получаю в /val/log/messages следующее
>>Jan 25 17:42:17 preceptor pam_winbind[27451]: Could not retrieve user's password
>>Jan 25 17:42:17 preceptor popa3d[27451]: Authentication failed for sharov
>>
>>
>>Кстати никто не знает, что это может быть
>>Jan 25 17:41:13 preceptor winbindd[32459]:   kerberos_kinit_password HOST/precep
>>tor@OSB7799.BANK failed: Clock skew too great
>>
>>
>>Это встречается, но с опросом pop3d не связано.
>
>
>Делал авторизацию радиуса через винбинд на FreeBSD.
>в pam.conf
>radiusd     auth      
> required    /usr/local/lib/pam_winbind.so
>radiusd     account     required  
>  pam_permit.so
>
>Для линуха соответственно первый столбец не нужен.

Уже давно существует служба nsswitch, в ней прописываешь, чтобы она пользовалась winbindd и ничего нигде больше править не надо, для остального Линуха абсолютно прозрачно.


"Хочу использовать Winbind  для pop"
Отправлено Шаров Сергей , 26-Сен-05 23:44 

>Уже давно существует служба nsswitch, в ней прописываешь, чтобы она пользовалась winbindd
>и ничего нигде больше править не надо, для остального Линуха абсолютно
>прозрачно.


Я, конечно, могу, что-то не понимать, но nsswitch я настраивал, т.к это
необходимое условие, чтобы winbind работал.

Может я, что-то усложняю, но у каждой службы есть свой pam конфиг, и тем
службам которые авторизуются через домен nt мне пришлось вписывать в pam
конфиг winbind авторизацию. По существующим примерам, я разрешил авторизацию
службы telnet, screensaver, ssh и т.д. А для sendmail не было примера pam. А так как я не очень понимаю pam,то не могу правильно (без примера) создать pam для этой службы с авторизацией в winbind.


"Хочу использовать Winbind  для pop"
Отправлено antoshkin , 06-Ноя-05 17:36 
Делал такую вещь на двух FreeBSD.
cat /etc/pam.d/pop3
auth            sufficient      pam_winbind.so
auth            required        pam_unix.so no_warn try_first_pass

Всё прекрасно работает. qpopper авторизует юзеров в домене, sendmail проверяет правильность юзера в домене.


"Хочу использовать Winbind  для pop"
Отправлено anonymous , 08-Ноя-05 05:33 
>Хочу использовать Winbind  для pop, чтобы почтовый клиент проверял свой пароль
>посредством pam_winbind из домена W2K.
>
>Добавление в /etc/pam.d/popa3d строчек с pam_winbind.o не помогает, кто-нибудь пытался сделать так?
>
>


можно еще настроить cyrus-sasl на winbind
после этого через cyrus-sasl можно и sendmail завести и докучи всего


"Хочу использовать Winbind  для pop"
Отправлено arm , 19-Ноя-05 01:27 
Задался такой целью... а информации очень мало.

/etc/pam.d/pop3
auth            sufficient      pam_winbind.so
auth            required        pam_unix.so no_warn try_first_pass

/etc/nsswitch.conf
group: compat
group_compat: nis
hosts: files dns
networks: files
passwd: compat
passwd_compat: nis
shells: files
passwd: files winbind
group:  files winbind


а в  tail /var/log/messages
-----для qpopper ----
Nov 19 00:17:28 sigma qpopper[1223]: dolgovav at ws.***.od.ua (192.168.30.210): -ERR [AUTH] Password supplied for "user" is incorrect.
Nov 19 00:17:28 sigma qpopper[1223]: [AUTH] Failed attempted login to user from host (ws.***.od.ua) 192.168.30.210
Nov 19 00:17:44 sigma qpopper[1224]: user at ws.***.od.ua (192.168.30.210): -ERR [AUTH] Password supplied for "user" ncorrect.
Nov 19 00:17:44 sigma qpopper[1224]: [AUTH] Failed attempted login to user from host (ws.***.od.ua) 192.168.30.210
-----для popa3d ----
Nov 19 00:18:06 sigma popa3d[1227]: Authentication failed for user
Nov 19 00:18:07 sigma popa3d[1229]: Authentication failed for user
Nov 19 00:18:14 sigma popa3d[1231]: Authentication failed for user
Nov 19 00:18:25 sigma popa3d[1233]: Authentication failed for exampledomain+user

да и по ssh тоже не пусчает...

причем система работает... сквид авторизует из АД.
kinit и wbinfo отрабатывают....

Подскажите в чем дело... а то задумка хорошая... только непонятно где грабли.


"Хочу использовать Winbind  для pop"
Отправлено antoshkin , 19-Ноя-05 02:04 
У меня в /etc/nsswitch.conf
passwd: files winbind
group: files winbind

Может в этом грабли?
Ну и может твой qpopper скомпилирован без поддержки pam?