Chi conosce bene il pam?

[Psycotic]

il mio problema e' che l'autenticazione con ldap funziona lo stesso anche se dal pam.conf gli tolgo le librerie che usano ldap..
Praticamente mi autentica senza passare dal pam secondo me..
Qualcuno sa aiutarmi?

[kingv]

aggiungi pam_warn alla configurazione del servizio che ti interessa e guarda nel syslog se ci passa.

se posti qualche dettaglio è piu' facile aiutarti

[Psycotic]

pam_warn dove dovrei metterlo? nel pam.conf?

[Psycotic]

ok lo incluso come required su auth account session e password
ma nn scrive niente su syslog
devo mettere qualcosa sul syslod.conf forse?

[kingv]

Quote:

Originariamente inviato da Psycotic
ok lo incluso come required su auth account session e password
ma nn scrive niente su syslog
devo mettere qualcosa sul syslod.conf forse?

come non scrive niente

ma su che file stai guardando?

[kingv]

posta il contenuto della sezione di pam.conf che ti interessa.

[Psycotic]

evviva guardavo su syslog invece logga su auth.log

ok allora decommentando pam_ldap.so su auth account ecc..
da root mi fa accedere lo stesso all'utente ldap mentre da un utente normale no... perche'?? anche se root nn richiede la password perche' se commento quella libreria cmq mi riesce ad accedere?

[Psycotic]

un'altra cosa.. appena capisco come funziona bene devo farlo funzionare su un solaris... Li nn c'e' il modulo pam_warn dove posso andarlo a prendere x installarlo?

[kingv]

Quote:

Originariamente inviato da Psycotic
evviva guardavo su syslog invece logga su auth.log

ok allora decommentando pam_ldap.so su auth account ecc..
da root mi fa accedere lo stesso all'utente ldap mentre da un utente normale no... perche'?? anche se root nn richiede la password perche' se commento quella libreria cmq mi riesce ad accedere?

da root ti fa accedere cosa vuol dire, usando 'su'?

allora vai a vederti la configurazione pam di su, evidentemente lì non hai toldo pam_ldap

[kingv]

Quote:

Originariamente inviato da Psycotic
un'altra cosa.. appena capisco come funziona bene devo farlo funzionare su un solaris... Li nn c'e' il modulo pam_warn dove posso andarlo a prendere x installarlo?

scarichi i sorgenti da http://www.padl.com/ e te li compili.

[Psycotic]

ma pam_warn fa parte di padl?? io i moduli li ho compilati da li.. pero' pam_warn nn l'ha fatto.. bah..

[kingv]

Quote:

Originariamente inviato da Psycotic
ma pam_warn fa parte di padl?? io i moduli li ho compilati da li.. pero' pam_warn nn l'ha fatto.. bah..

scusa ho sbagliato, scarica da qui i sorgenti ftp://ftp.kernel.org/pub/linux/libs/pam/pre/library/

[Psycotic]

emm la macchina su cui dovrei compilarlo e' una:
SunOS 5.8 Generic_108528-29 sun4u sparc SUNW,Sun-Fire-280R

[kingv]

Quote:

Originariamente inviato da Psycotic
emm la macchina su cui dovrei compilarlo e' una:
SunOS 5.8 Generic_108528-29 sun4u sparc SUNW,Sun-Fire-280R

ho letto troppo in fretta.


se mi rispieghi il problema e posti il pam.conf magari facciamo senza....

[Psycotic]

login auth sufficient pam_ldap.so
login auth requisite pam_authtok_get.so.1
login auth required pam_dhkeys.so.1
login auth required pam_unix_auth.so.1
#
rlogin auth sufficient pam_ldap.so
rlogin auth sufficient pam_rhosts_auth.so.1
rlogin auth requisite pam_authtok_get.so.1
rlogin auth required pam_dhkeys.so.1
rlogin auth required pam_unix_auth.so.1
#
dtlogin auth sufficient pam_ldap.so
dtlogin auth requisite pam_authtok_get.so.1
dtlogin auth required pam_dhkeys.so.1
dtlogin auth required pam_unix_auth.so.1
#
rsh auth sufficient pam_ldap.so
rsh auth sufficient pam_rhosts_auth.so.1
rsh auth required pam_unix_auth.so.1
other auth sufficient pam_ldap.so
other auth requisite pam_authtok_get.so.1
other auth required pam_dhkeys.so.1
other auth required pam_unix_auth.so.1
#
# Account management
#
login account sufficient pam_ldap.so
login account requisite pam_roles.so.1
login account required pam_projects.so.1
login account required pam_unix_account.so.1
#
dtlogin account sufficient pam_ldap.so
dtlogin account requisite pam_roles.so.1
dtlogin account required pam_projects.so.1
dtlogin account required pam_unix_account.so.1
#
other account sufficient pam_ldap.so
other account requisite pam_roles.so.1
other account required pam_projects.so.1
other account required pam_unix_account.so.1
#
# Session management
#
other session sufficient pam_ldap.so
other session required pam_unix_session.so.1
#
# Password management
#
other password sufficient pam_ldap.so
other password required pam_dhkeys.so.1
other password requisite pam_authtok_get.so.1
other password requisite pam_authtok_check.so.1
other password required pam_authtok_store.so.1
# Support for Kerberos V5 authentication (uncomment to use Kerberos)
#
other account optional pam_krb5.so.1
other session optional pam_krb5.so.1
other password optional pam_krb5.so.1 try_first_pass
passwd auth sufficient pam_ldap.so
passwd auth required pam_passwd_auth.so.1

ppp auth requisite pam_authtok_get.so.1
ppp auth required pam_dhkeys.so.1
ppp auth required pam_unix_auth.so.1
ppp auth required pam_dial_auth.so.1


questo e' il mio file pam.conf.. o meglio o solo aggiunto per ogni servizio la riga che usa pam_ldap.so

su funziona abbastanza bene ssh no..
su sshd_config c'e' una riga che dice se usare il pam oppure no..

da me che ho linux se metto no su usepam mi funziona lo stesso.. su solaris invece mi sa che nn gliela posso nemmeno abilitare perche' mi dice che nn lo supporta

devo abilitarla per forza quella riga? e se si perche' allora da me funziona lo stesso ldap??

oltretutto tutti i servizi che nn sono specificati in teoria dovrebbero usare la linea other.. pero' c'e' un prodotto che usa pam che nn riesce a vedere gli utenti ldap.. il prodotto nn so cosa sia.. ma come faccio a vedere se other sta funzionando? visto che a disposizione ho solo su e ssh?
mi sa che nn posso vederlo vero??
pero' su a questo punto se funziona e nn c'e' specificato significa che sta utilizzando other giusto?

[kingv]

occorre che sshd sia stato compilato per supportare PAM, e probabilmente così non è.

trova un binario compilato col supporto pam oppure saricati i sorgenti e compila

per il resto hai detto bene, se il servizio non è elencato usa "other".

E' bene che other sia il piu' restrittivo possibile, pero'.

[Psycotic]

perche' nn va' bene cosi?
ma cmq allora sta funzionando praticamente..
ma quindi tutti i programmi che usano pam nn dovrebbero avere problemi a vedere gli utenti ldap no? quindi magari e' il loro software che ha problemi nn il mio pam giusto?

Pero' nn mi hai risposto a questa domanda

"da me che ho linux se metto no su usepam mi funziona lo stesso.."

un'altra cosa perche' anche se commento la riga other che usa ldap
da root mi fa accedere lo stesso agli utenti ldap? non e' che da qualche parte si mette in cache gli utenti di ldap? non so ma si sembra una grossa c.....ata quella che ho appena detto

[kingv]

Quote:

Originariamente inviato da Psycotic


Pero' nn mi hai risposto a questa domanda

"da me che ho linux se metto no su usepam mi funziona lo stesso.."

non ne ho idea, sul mio (openssh-server-3.6.1) neanche esiste quell'opzione

[kingv]

Quote:

Originariamente inviato da Psycotic
non e' che da qualche parte si mette in cache gli utenti di ldap? non so ma si sembra una grossa c.....ata quella che ho appena detto

esiste un servizio di caching ( nscd ), ma se lo togli dalla configurazione non dovrebbe funzionare.
cosa intendi esattamente per "da root mi fa accedere"?
se fai da root 'passwd utente_ldap' ti fa cambiare la password?

[nix1]