[ug-czosug] nedari se mi vzdalene prihlasit

Pavel Lisý pali na tmapy.cz
Sobota Leden 27 08:01:22 PST 2007 

Milan Jurik píše v Pá 26. 01. 2007 v 16:22 +0100:
> Preji prijemny den,
> 
> > Dobry den
> > 
> > nakonfiguroval jsem si Solaris tak, že tahá uživatele z OpenLDAP.
> > Tj. getent passwd a getent group mi zobrazují kromě lokálních účtů i ty
> > z LDAPu. 
> > 
> > Nedaří se mi ale přihlásit z grafické konzole (asi přes dtlogin nebo
> > dtgreet) ani přes ssh. Toto dokážu pouze na účty definované lokálně.
> > 
> > Asi budu mít problém v /etc/pam.conf, ale nemohu přijít na to, co vše
> > musím nastavit, aby to zafungovalo.
> > 
> > Dotaz bych rozdělil na dvě části:
> > 
> > 1. Co má být v pam.conf, aby ssh povolilo přihlášení na účty z LDAP?
> > 
> > 2. Co má být v pam.conf, aby dtlogin/gdm povolilo přihlášení na účty z
> > LDAP?
> > 
> > 3. Nebo může být problém někde jinde? Alespoň vyjmenovat oblasti,
> > kterých by se to ještě mohlo týkat.
> > 
> > Existuje někde popis na toto téma? To co jsem zatím našel a otestoval
> > nezafungovalo. Musím po úpravě pam.conf něco restartovat? V linuxu to
> > zafunguje okamžitě, ale tady si nejsem jistý.
> > 
> 
> Existuje, na docs.sun.com, navod pro naming sluzby vcetne LDAPu. A jinak
> 
> man pam -> man pam.conf -> man pam_ldap
Ještě doplňuji předchozí mail a zárověň posílám do konference, na což
jsem před tím zapomněl.

pokud mám toto v pam.conf:
sshd-kbdint     auth requisite          pam_authtok_get.so.1
sshd-kbdint     auth required           pam_dhkeys.so.1
sshd-kbdint     auth required           pam_dial_auth.so.1
sshd-kbdint     auth required           pam_unix_cred.so.1
sshd-kbdint     auth sufficient         pam_unix_auth.so.1
sshd-kbdint     auth required           pam_ldap.so.1
sshd-kbdint     account sufficient      pam_unix_account.so.1
sshd-kbdint     account required        pam_ldap.so.1

a zároveň heslo v LDAPu zakryptované pomocí unix_crypt, tak se
přihlásím. Pokud kryptování změním, tak se tam nedostanu.

Na následujícím odkazu:
http://docs.sun.com/app/docs/doc/816-4556/6maort2tm?a=view

jsem našel tento text:
Generic Directory Server Requirements for LDAP
To support LDAP clients based on Solaris 9 or later Solaris versions,
the server, regardless of what brand, must support the LDAP v3 protocol
and compound naming and auxiliary object classes. In addition, at least
one of the following controls must be supported.


      * Simple paged-mode (RFC 2696)
        
      * Virtual List View controls
        
        The server must support at least one of the following
        authentication methods.
        
        
              * anonymous
              * simple
              * sasl/cram-MD5
              * sasl/digest-MD5
        

If using pam_unix, the server must support storing passwords in UNIX
crypt format. 

If using TLS, the server must support SSL or TLS.

Co znamená ta poznámka o pam_unix? To znamená, že pokud chci kombinovat
účty lokální a LDAPové, tak jsem odsouzen pouze ke cryptu, jinak mohu
použít silnější kryptování hesla? Nebo to znamená, že nemohu v LDAPu
uložit hesla vůbec jinak než v cryptu? Dle mého testování to vypadá, že
je to přinejmenším default předpoklad. Když totiž své heslo zadám do
LDAPu v cryptu, tak se mi přes ssh (samozřejmě že ještě po příslušných
úpravách pam.conf) přihlásit podaří. Nechce se mi ale věřit, že by to
nešlo uložit nějak bezpečněji. Nelze solaris někde přesvědčit, aby to
skousnul?

Pavel

Další informace o konferenci ug-czosug