forum.opennet.ru - "LDAP и PAM" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"LDAP и PAM"

Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"LDAP и PAM"	+/–
Сообщение от Николай (??) on 25-Сен-15, 12:14
Здравствуйте. Не могу настроить LDAP ppolicy в связке с PAM. Аутентификация работает. Смена пароля командой passwd работает. Но когда наступает время выдачи сообщения, что пароль устареет через Х секунд, пользователь никак это не видит. Т.е. после аутентификации на линукс сервер ему выдается shell,но ни РАМ ни кто другой не сообщает, что пришло время сменить пароль. В результате через определенное время его просто перестаёт пускать на сервера и сменить пароль он уже не может. По моей логике предупреждать должен PAM. В конфиге pam_ldap.conf и libnss-ldap.conf пробовал раскоментировать строку pam_lookup_policy yes не помогло в common-auth прописано : auth [success=2 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_ldap.so use_first_pass auth requisite pam_deny.so auth required pam_permit.so в common-account: account [success=1 default=ignore] pam_unix.so account required pam_ldap.so account required pam_permit.so В nsswitch.conf passwd: compat ldasp group: compat ldap shadow: files gshadow: files Если дать запрос в LDAP выдаёт: root@ldap# ldapwhoami -D uid=test03,ou=People,dc=pc,dc=su -W -e ppolicy Enter LDAP Password: ldap_bind: Success (0) (Password expired, 1 grace logins remain) dn:uid=test03,ou=People,dc=pc,dc=su Как выдать что-то подобное пользователю при логине по ssh? Или эта это как-то по другому решается?
Ответить \| Правка \| Cообщить модератору

Оглавление

LDAP и PAM, eRIC, 13:24 , 25-Сен-15, (1)

LDAP и PAM, Николай, 13:30 , 25-Сен-15, (2)

LDAP и PAM, eRIC, 13:48 , 25-Сен-15, (3)

LDAP и PAM, Николай, 14:44 , 25-Сен-15, (4)

LDAP и PAM, eRIC, 14:53 , 25-Сен-15, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "LDAP и PAM" +/–

Сообщение от eRIC (ok) on 25-Сен-15, 13:24

> По моей логике предупреждать должен PAM. В конфиге pam_ldap.conf и libnss-ldap.conf
> пробовал раскоментировать строку
> pam_lookup_policy yes
да, его нужно включить
> в common-auth прописано
насколько я знаю все нужно делать в /etc/pam.d/system-auth и UsePAM yes в sshd

#uname -a
в студию

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "LDAP и PAM" +/–

Сообщение от Николай (??) on 25-Сен-15, 13:30

> насколько я знаю все нужно делать в /etc/pam.d/system-auth и UsePAM yes в
> sshd
Спасибо что откликнулись. sshd использует PAM, как я понимаю, ведь при аутентификации он пароль из LDAP берет.
> #uname -a
> в студию
root@ldp1# uname -a
Linux ldp1 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt9-3~deb8u1 (2015-04-24) x86_64 GNU/Linux

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "LDAP и PAM" +/–

Сообщение от eRIC (ok) on 25-Сен-15, 13:48

> Спасибо что откликнулись. sshd использует PAM, как я понимаю, ведь при аутентификации
> он пароль из LDAP берет.
да он берет но всю нужную информацию, см. вниз чтобы понять
> root@ldp1# uname -a
> Linux ldp1 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt9-3~deb8u1 (2015-04-24) x86_64 GNU/Linux
теперь понятно, у вас Debian и все настройки PAM paзнесены на разные файлы common-account, common-auth, common-password, common-session. нужно в каждом файле добавить pam_ldap.so (на отдельной строке, т.е где встречается pam_unix, после него - быстрый способ)
https://wiki.debian.org/LDAP/PAM

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "LDAP и PAM" +/–

Сообщение от Николай (??) on 25-Сен-15, 14:44

>> Спасибо что откликнулись. sshd использует PAM, как я понимаю, ведь при аутентификации
>> он пароль из LDAP берет.
> да он берет но всю нужную информацию, см. вниз чтобы понять
>> root@ldp1# uname -a
>> Linux ldp1 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt9-3~deb8u1 (2015-04-24) x86_64 GNU/Linux
> теперь понятно, у вас Debian и все настройки PAM paзнесены на разные
> файлы common-account, common-auth, common-password, common-session. нужно в каждом файле
> добавить pam_ldap.so (на отдельной строке, т.е где встречается pam_unix, после него
> - быстрый способ)
> https://wiki.debian.org/LDAP/PAM
Спасибо за ссылку! Вы знаете, установил вместо libpam-ldap libpam-ldapd и заработало!
В common-* он автоматом прописывает при установке пакета, там ничего не трогал, всё было.
Еще раз спасибо и дай вам бог здоровья ! :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "LDAP и PAM" +/–

Сообщение от eRIC (ok) on 25-Сен-15, 14:53

> Спасибо за ссылку! Вы знаете, установил вместо libpam-ldap libpam-ldapd и заработало!
> В common-* он автоматом прописывает при установке пакета, там ничего не трогал,
> всё было.
> Еще раз спасибо и дай вам бог здоровья ! :)
и вам не хворать, жить до поживать :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "LDAP и PAM"	+/–
Сообщение от eRIC (ok) on 25-Сен-15, 13:24
> По моей логике предупреждать должен PAM. В конфиге pam_ldap.conf и libnss-ldap.conf > пробовал раскоментировать строку > pam_lookup_policy yes да, его нужно включить > в common-auth прописано насколько я знаю все нужно делать в /etc/pam.d/system-auth и UsePAM yes в sshd #uname -a в студию
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "LDAP и PAM"	+/–
	Сообщение от Николай (??) on 25-Сен-15, 13:30
	> насколько я знаю все нужно делать в /etc/pam.d/system-auth и UsePAM yes в > sshd Спасибо что откликнулись. sshd использует PAM, как я понимаю, ведь при аутентификации он пароль из LDAP берет. > #uname -a > в студию root@ldp1# uname -a Linux ldp1 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt9-3~deb8u1 (2015-04-24) x86_64 GNU/Linux
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "LDAP и PAM"	+/–
	Сообщение от eRIC (ok) on 25-Сен-15, 13:48
	> Спасибо что откликнулись. sshd использует PAM, как я понимаю, ведь при аутентификации > он пароль из LDAP берет. да он берет но всю нужную информацию, см. вниз чтобы понять > root@ldp1# uname -a > Linux ldp1 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt9-3~deb8u1 (2015-04-24) x86_64 GNU/Linux теперь понятно, у вас Debian и все настройки PAM paзнесены на разные файлы common-account, common-auth, common-password, common-session. нужно в каждом файле добавить pam_ldap.so (на отдельной строке, т.е где встречается pam_unix, после него - быстрый способ) https://wiki.debian.org/LDAP/PAM
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "LDAP и PAM"	+/–
	Сообщение от Николай (??) on 25-Сен-15, 14:44
	>> Спасибо что откликнулись. sshd использует PAM, как я понимаю, ведь при аутентификации >> он пароль из LDAP берет. > да он берет но всю нужную информацию, см. вниз чтобы понять >> root@ldp1# uname -a >> Linux ldp1 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt9-3~deb8u1 (2015-04-24) x86_64 GNU/Linux > теперь понятно, у вас Debian и все настройки PAM paзнесены на разные > файлы common-account, common-auth, common-password, common-session. нужно в каждом файле > добавить pam_ldap.so (на отдельной строке, т.е где встречается pam_unix, после него > - быстрый способ) > https://wiki.debian.org/LDAP/PAM Спасибо за ссылку! Вы знаете, установил вместо libpam-ldap libpam-ldapd и заработало! В common-* он автоматом прописывает при установке пакета, там ничего не трогал, всё было. Еще раз спасибо и дай вам бог здоровья ! :)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "LDAP и PAM"	+/–
	Сообщение от eRIC (ok) on 25-Сен-15, 14:53
	> Спасибо за ссылку! Вы знаете, установил вместо libpam-ldap libpam-ldapd и заработало! > В common-* он автоматом прописывает при установке пакета, там ничего не трогал, > всё было. > Еще раз спасибо и дай вам бог здоровья ! :) и вам не хворать, жить до поживать :)
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору