abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 13:11 | Nová verze

Po téměř dvou letech byla vydána nová verze 4.0 linuxové distribuce Audiophile Linux (též AP-Linux-V4). Tato distribuce vychází z Arch Linuxu, používá systemd, správce oken Fluxbox a vlastní real-time jádro pro nižší latence. Z novinek můžeme jmenovat podporu nových procesorů Intel Skylake a Kaby Lake nebo možnost instalace vedle jiných OS na stejný disk. Pokud se zajímáte o přehrávání hudby v Linuxu, doporučuji návštěvu webu této

… více »
Blaazen | Komentářů: 0
včera 18:55 | Nová verze

Byla vydána nová stabilní verze 1.9 (1.9.818.44) webového prohlížeče Vivaldi (Wikipedie). Z novinek vývojáři zdůrazňují podporu nového vyhledávače Ecosia. Ten z příjmů z reklam podporuje výsadbu stromů po celém světě (YouTube). Nově lze přeskupovat ikonky rozšíření nebo řadit poznámky. Nejnovější Vivaldi je postaveno na Chromiu 58.0.3029.82.

Ladislav Hagara | Komentářů: 10
včera 17:00 | Nová verze

Byla vydána verze 3.7.0 svobodného systému pro správu obsahu (CMS) Joomla!. V oznámení o vydání (YouTube) se píše o 700 vylepšeních. Opraveno bylo také 8 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
včera 08:22 | Komunita

Grsecurity (Wikipedie) je sada bezpečnostních patchů pro linuxové jádro (porovnání se SELinuxem, AppArmorem a KSPP). Od září 2015 nejsou stabilní verze těchto patchů volně k dispozici. Dle včerejšího oznámení (FAQ) nejsou s okamžitou platností volně k dispozici už ani jejich testovací verze.

Ladislav Hagara | Komentářů: 46
26.4. 23:33 | Komunita

OpenBSD 6.1 vyšlo již 11. dubna. Po dvou týdnech byla vydána i oficiální píseň. Její název je Winter of 95 a k dispozici je ve formátech MP3 a OGG.

Ladislav Hagara | Komentářů: 0
26.4. 18:55 | Nová verze

Byla vydána verze 2017.1 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux. S vydáním verze 2016.1 se Kali Linux stal průběžně aktualizovanou distribucí. Aktualizovat jej lze pomocí příkazů "apt update; apt dist-upgrade; reboot".

Ladislav Hagara | Komentářů: 0
26.4. 18:22 | Nová verze

Po téměř pěti letech od vydání verze 2.00 byla vydána nová stabilní verze 2.02 systémového zavaděče GNU GRUB (GRand Unified Bootloader). Přehled novinek v souboru NEWS.

Ladislav Hagara | Komentářů: 19
26.4. 17:55 | Komunita

Vývojáři Debianu oznámili, že od 1. listopadu letošního roku nebudou jejich archivy dostupné pomocí protokolu FTP. Již v lednu oznámil ukončení podpory FTP kernel.org (The Linux Kernel Archives).

Ladislav Hagara | Komentářů: 28
26.4. 17:00 | Bezpečnostní upozornění

V oblíbeném webmailu postaveném na PHP SquirrelMail (Wikipedie) byla nalezena bezpečnostní chyba CVE-2017-7692, jež může být útočníkem zneužita ke spuštění libovolných příkazů a kompletnímu ovládnutí dotčeného serveru. Zranitelnost se týká pouze instancí, kde je pro transport používán Sendmail.

Ladislav Hagara | Komentářů: 3
26.4. 13:11 | Zajímavý článek

Soudní dvůr Evropské unie rozhodl (tisková zpráva) ve věci C-527/15: Prodej multimediálního přehrávače, který umožňuje zdarma a jednoduše zhlédnout na televizní obrazovce filmy protiprávně zpřístupněné na internetu, může představovat porušení autorského práva.

Ladislav Hagara | Komentářů: 32
Chystáte se pořídit CPU AMD Ryzen?
 (4%)
 (34%)
 (1%)
 (6%)
 (45%)
 (9%)
Celkem 336 hlasů
 Komentářů: 50, poslední včera 04:06
    Rozcestník

    Dotaz: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem

    23.10.2010 16:21 nick
    PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem
    Přečteno: 518×
    Zprovozňuji přihlašovaní s uživateli v LDAP databázi. NSS funguje správně. (K UID se přiřazuje uživatelské jméno a v mc se zobrazují uživatelé i skupiny v LDAP) PAM vypadá že také funguje, ale ve skutečnosti, při přihlášení z lokální konzole, přihlásí uživatele s libovolným heslem. (Stačí zadat existující login a jste úspěšně přihlášeni) Přes SSH všechno funguje korektně - bez správného hesla není uživatel vpuštěn.

    /var/log/auth.log - SSH - špatné heslo (nevpustí)
    Oct 23 15:53:43 oslinux sshd[2439]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.1  user=nick
    Oct 23 15:53:43 oslinux sshd[2439]: pam_ldap: error trying to bind as user "cn=nick,cn=admins,ou=users,dc=test" (Invalid credentials)
    Oct 23 15:53:45 oslinux sshd[2439]: Failed password for nick from 192.168.56.1 port 56678 ssh2
    
    /var/log/auth.log - SSH - správné heslo (vpustí)
    Oct 23 15:53:57 oslinux sshd[2441]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.1  user=nick
    Oct 23 15:53:57 oslinux sshd[2441]: Accepted password for nick from 192.168.56.1 port 56679 ssh2
    Oct 23 15:53:57 oslinux sshd[2441]: pam_unix(sshd:session): session opened for user nick by (uid=0)
    Oct 23 15:54:00 oslinux sshd[2443]: Received disconnect from 192.168.56.1: 11: disconnected by user
    Oct 23 15:54:00 oslinux sshd[2441]: pam_unix(sshd:session): session closed for user nick
    
    /var/log/auth.log - Konzole - špatné heslo (vpustí) - Toto je to nežádoucí
    Oct 23 15:54:10 oslinux login[2448]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost=  user=nick
    Oct 23 15:54:10 oslinux login[2448]: pam_ldap: error trying to bind as user "cn=nick,cn=admins,ou=users,dc=test" (Invalid credentials)
    Oct 23 15:54:10 oslinux login[2448]: pam_unix(login:session): session opened for user nick by LOGIN(uid=0)
    Oct 23 15:54:12 oslinux login[2448]: pam_unix(login:session): session closed for user nick
    
    /var/log/auth.log - Konzole - správné heslo (vpustí)
    Oct 23 15:54:17 oslinux login[2460]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost=  user=nick
    Oct 23 15:54:17 oslinux login[2460]: pam_unix(login:session): session opened for user nick by LOGIN(uid=0)
    Oct 23 15:54:21 oslinux login[2460]: pam_unix(login:session): session closed for user nick
    
    /etc/pam.d/login
    auth       optional   pam_faildelay.so  delay=3000000
    auth       [success=ok ignore=ignore user_unknown=ignore default=die]  pam_securetty.so
    auth       requisite  pam_nologin.so
    session       required   pam_env.so readenv=1
    session       required   pam_env.so readenv=1 envfile=/etc/default/locale
    @include common-auth
    auth       optional   pam_group.so
    session    required   pam_limits.so
    session    optional   pam_lastlog.so
    session    optional   pam_motd.so
    session    optional   pam_mail.so standard
    @include common-account
    @include common-session
    @include common-password
    
    Soubory common-* používá i /etc/pam.d/sshd, proto nepředpokládám že by v něm byla chyba.

    Netušíte někdo proč by PAM pustil lokálně uživatele LDAP bez hesla? Díky

    Řešení dotazu:


    Odpovědi

    24.10.2010 11:55 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem
    V tom /etc/pam.d/login není vidět, jak se heslo ověřuje, to bude až v některém z těch common souborů. Možná máte nastavené sshd tak, že se PAM pro ověřování hesel vůbec nepoužívá (je to myslím výchozí nastavení).
    24.10.2010 13:18 nick
    Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem
    Příkládám tedy i další konfigurační soubory, ale sshd tyto common soubory určitě používá - includuje je také. Zaroveň dodávám že se jedná o distribuci Debian Lenny a děkuji za reakci.

    /etc/pam.d/common-account
    account sufficient      pam_unix.so
    account sufficient      pam_ldap.so
    
    /etc/pam.d/common-auth
    auth    sufficient      pam_unix.so nullok_secure
    auth    sufficient      pam_ldap.so use_first_pass
    
    /etc/pam.d/common-password
    password   sufficient   pam_unix.so nullok obscure crypt
    password   sufficient   pam_ldap.so nullok crypt
    
    /etc/pam.d/common-session
    session required        pam_unix.so
    session optional        pam_ldap.so
    
    /etc/pam.d/sshd (Originální z distribuce)
    # PAM configuration for the Secure Shell service
    
    # Read environment variables from /etc/environment and
    # /etc/security/pam_env.conf.
    auth       required     pam_env.so # [1]
    # In Debian 4.0 (etch), locale-related environment variables were moved to
    # /etc/default/locale, so read that as well.
    auth       required     pam_env.so envfile=/etc/default/locale
    
    # Standard Un*x authentication.
    @include common-auth
    
    # Disallow non-root logins when /etc/nologin exists.
    account    required     pam_nologin.so
    
    # Uncomment and edit /etc/security/access.conf if you need to set complex
    # access limits that are hard to express in sshd_config.
    # account  required     pam_access.so
    # Standard Un*x authorization.
    @include common-account
    
    # Standard Un*x session setup and teardown.
    @include common-session
    
    # Print the message of the day upon successful login.
    session    optional     pam_motd.so # [1]
    
    # Print the status of the user's mailbox upon successful login.
    session    optional     pam_mail.so standard noenv # [1]
    
    # Set up user limits from /etc/security/limits.conf.
    session    required     pam_limits.so
    
    # Set up SELinux capabilities (need modified pam)
    # session  required     pam_selinux.so multiple
    
    # Standard Un*x password updating.
    @include common-password
    
    /etc/pam.d/login viz. původní dotaz

    Děkuji za vaši odpověď
    24.10.2010 15:13 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem
    Neměl by u auth být alespoň jeden modul required?

    Jinak u sshd záleží na nastavení UsePAM v sshd_config, podívejte se, zda vaše sshd ověření hesel přes PAM vůbec používá.
    24.10.2010 18:25 nick
    Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem
    Ano, děkuji, toto vyřešilo můj problém. Nakonec funguje následující řešení:

    /etc/pam.d/common-auth
    auth    sufficient      pam_unix.so nullok_secure
    auth    required        pam_ldap.so use_first_pass
    
    Je důležité, aby byl poslední auth modul required a všechny předchozí sufficient.

    Pokud je totiž modul sufficient, a ověření selže, pokračuje se k dalším modulům.

    Pokud je modul required a ověření selže, je uživateli přístup odepřen.

    Proto když jsem všechny moduly sufficient, byl uživatel přihlášen, přestože ani jeden modul uživatele úspěšně neověřil.

    Ještě jednou děkuji
    24.10.2010 12:56 jmeno
    Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem
    Ukazes nam /etc/nsswitch.conf ?
    24.10.2010 13:25 nick
    Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem
    Samozřejmě, ale předpokládám že NSS pracuje správně - UID/Login se z LDAP přiřazují a pomocí su s mohu bez problému na uživatele přihlásit. Přes SSH se ale mohou uživatelé v pořádku přihlásit a pracovat - pouze lokálně se na ně může přihlásit kdokoli bez hesla.

    /etc/nsswitch.conf
    passwd:         compat ldap
    group:          compat ldap
    shadow:         compat ldap
    
    hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
    networks:       files
    
    protocols:      db files
    services:       db files
    ethers:         db files
    rpc:            db files
    
    netgroup:       nis
    
    24.10.2010 13:40 nick
    Rozbalit Rozbalit vše Re: PAM + LDAP - Přes SSH v pořádku, lokálně pustí s libovolným heslem
    Ještě jsem si uvědomil že by mohl být chyba v následujícím konfiguračním soubory, kde se nastavuje LDAP modul PAMu.

    /etc/pam_ldap.conf
    ###DEBCONF###
    # the configuration of this file will be done by debconf as long as the
    # first line of the file says '###DEBCONF###'
    #
    # you should use dpkg-reconfigure to configure this file
    #
    # @(#)$Id: pam_ldap.conf,v 1.38 2006/05/15 08:13:31 lukeh Exp $
    #
    # This is the configuration file for the LDAP nameservice
    # switch library and the LDAP PAM module.
    #
    # PADL Software
    # http://www.padl.com
    #
    
    # Your LDAP server. Must be resolvable without using LDAP.
    # Multiple hosts may be specified, each separated by a 
    # space. How long nss_ldap takes to failover depends on
    # whether your LDAP client library supports configurable
    # network or connect timeouts (see bind_timelimit).
    host 192.168.56.101
    
    # The distinguished name of the search base.
    base dc=test
    
    # Another way to specify your LDAP server is to provide an
    uri ldap://192.168.56.101
    # Unix Domain Sockets to connect to a local LDAP Server.
    #uri ldap://127.0.0.1/
    #uri ldaps://127.0.0.1/   
    #uri ldapi://%2fvar%2frun%2fldapi_sock/
    # Note: %2f encodes the '/' used as directory separator
    
    # The LDAP version to use (defaults to 3
    # if supported by client library)
    ldap_version 3
    
    # The distinguished name to bind to the server with.
    # Optional: default is to bind anonymously.
    binddn cn=system,cn=admins,ou=users,dc=test
    
    # The credentials to bind with. 
    # Optional: default is no credential.
    bindpw heslo
    
    # The distinguished name to bind to the server with
    # if the effective user ID is root. Password is
    # stored in /etc/pam_ldap.secret (mode 600)
    #rootbinddn cn=system,cn=admins,ou=users,dc=test
    
    # The port.
    # Optional: default is 389.
    #port 389
    
    # The search scope.
    #scope sub
    #scope one
    #scope base
    
    # Search timelimit
    #timelimit 30
    
    # Bind/connect timelimit
    #bind_timelimit 30
    
    # Reconnect policy: hard (default) will retry connecting to
    # the software with exponential backoff, soft will fail
    # immediately.
    bind_policy soft
    
    # Idle timelimit; client will close connections
    # (nss_ldap only) if the server has not been contacted
    # for the number of seconds specified below.
    #idle_timelimit 3600
    
    # Filter to AND with uid=%s
    pam_filter objectclass=posixAccount
    
    # The user ID attribute (defaults to uid)
    pam_login_attribute cn
    
    # Search the root DSE for the password policy (works
    # with Netscape Directory Server)
    #pam_lookup_policy yes
    
    # Check the 'host' attribute for access control
    # Default is no; if set to yes, and user has no
    # value for the host attribute, and pam_ldap is
    # configured for account management (authorization)
    # then the user will not be allowed to login.
    #pam_check_host_attr yes
    
    # Check the 'authorizedService' attribute for access
    # control
    # Default is no; if set to yes, and the user has no
    # value for the authorizedService attribute, and
    # pam_ldap is configured for account management
    # (authorization) then the user will not be allowed
    # to login.
    #pam_check_service_attr yes
    
    # Group to enforce membership of
    #pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com
    
    # Group member attribute
    #pam_member_attribute uniquemember
    
    # Specify a minium or maximum UID number allowed
    #pam_min_uid 0
    #pam_max_uid 0
    
    # Template login attribute, default template user
    # (can be overriden by value of former attribute
    # in user's entry)
    #pam_login_attribute userPrincipalName
    #pam_template_login_attribute uid
    #pam_template_login nobody
    
    # HEADS UP: the pam_crypt, pam_nds_passwd,
    # and pam_ad_passwd options are no
    # longer supported.
    #
    # Do not hash the password at all; presume
    # the directory server will do it, if
    # necessary. This is the default.
    #pam_password clear
    
    # Hash password locally; required for University of
    # Michigan LDAP server, and works with Netscape
    # Directory Server if you're using the UNIX-Crypt
    # hash mechanism and not using the NT Synchronization
    # service. 
    pam_password crypt
    
    # Remove old password first, then update in
    # cleartext. Necessary for use with Novell
    # Directory Services (NDS)
    #pam_password clear_remove_old
    #pam_password nds
    
    # RACF is an alias for the above. For use with
    # IBM RACF
    #pam_password racf
    
    # Update Active Directory password, by
    # creating Unicode password and updating
    # unicodePwd attribute.
    #pam_password ad
    
    # Use the OpenLDAP password change
    # extended operation to update the password.
    #pam_password exop
    
    # Redirect users to a URL or somesuch on password
    # changes.
    #pam_password_prohibit_message Please visit http://internal to change your password.
    
    # RFC2307bis naming contexts
    # Syntax:
    # nss_base_XXX		base?scope?filter
    # where scope is {base,one,sub}
    # and filter is a filter to be &'d with the
    # default filter.
    # You can omit the suffix eg:
    # nss_base_passwd	ou=People,
    # to append the default base DN but this
    # may incur a small performance impact.
    #nss_base_passwd	ou=People,dc=padl,dc=com?one
    #nss_base_shadow	ou=People,dc=padl,dc=com?one
    #nss_base_group		ou=Group,dc=padl,dc=com?one
    #nss_base_hosts		ou=Hosts,dc=padl,dc=com?one
    #nss_base_services	ou=Services,dc=padl,dc=com?one
    #nss_base_networks	ou=Networks,dc=padl,dc=com?one
    #nss_base_protocols	ou=Protocols,dc=padl,dc=com?one
    #nss_base_rpc		ou=Rpc,dc=padl,dc=com?one
    #nss_base_ethers	ou=Ethers,dc=padl,dc=com?one
    #nss_base_netmasks	ou=Networks,dc=padl,dc=com?ne
    #nss_base_bootparams	ou=Ethers,dc=padl,dc=com?one
    #nss_base_aliases	ou=Aliases,dc=padl,dc=com?one
    #nss_base_netgroup	ou=Netgroup,dc=padl,dc=com?one
    
    # attribute/objectclass mapping
    # Syntax:
    #nss_map_attribute	rfc2307attribute	mapped_attribute
    #nss_map_objectclass	rfc2307objectclass	mapped_objectclass
    
    # configure --enable-nds is no longer supported.
    # NDS mappings
    #nss_map_attribute uniqueMember member
    
    # Services for UNIX 3.5 mappings
    #nss_map_objectclass posixAccount User
    #nss_map_objectclass shadowAccount User
    #nss_map_attribute uid msSFU30Name
    #nss_map_attribute uniqueMember msSFU30PosixMember
    #nss_map_attribute userPassword msSFU30Password
    #nss_map_attribute homeDirectory msSFU30HomeDirectory
    #nss_map_attribute homeDirectory msSFUHomeDirectory
    #nss_map_objectclass posixGroup Group
    #pam_login_attribute msSFU30Name
    #pam_filter objectclass=User
    #pam_password ad
    
    # configure --enable-mssfu-schema is no longer supported.
    # Services for UNIX 2.0 mappings
    #nss_map_objectclass posixAccount User
    #nss_map_objectclass shadowAccount user
    #nss_map_attribute uid msSFUName
    #nss_map_attribute uniqueMember posixMember
    #nss_map_attribute userPassword msSFUPassword
    #nss_map_attribute homeDirectory msSFUHomeDirectory
    #nss_map_attribute shadowLastChange pwdLastSet
    #nss_map_objectclass posixGroup Group
    #nss_map_attribute cn msSFUName
    #pam_login_attribute msSFUName
    #pam_filter objectclass=User
    #pam_password ad
    
    # RFC 2307 (AD) mappings
    #nss_map_objectclass posixAccount user
    #nss_map_objectclass shadowAccount user
    #nss_map_attribute uid sAMAccountName
    #nss_map_attribute homeDirectory unixHomeDirectory
    #nss_map_attribute shadowLastChange pwdLastSet
    #nss_map_objectclass posixGroup group
    #nss_map_attribute uniqueMember member
    #pam_login_attribute sAMAccountName
    #pam_filter objectclass=User
    #pam_password ad
    
    # configure --enable-authpassword is no longer supported
    # AuthPassword mappings
    #nss_map_attribute userPassword authPassword
    
    # AIX SecureWay mappings
    #nss_map_objectclass posixAccount aixAccount
    #nss_base_passwd ou=aixaccount,?one
    #nss_map_attribute uid userName
    #nss_map_attribute gidNumber gid
    #nss_map_attribute uidNumber uid
    #nss_map_attribute userPassword passwordChar
    #nss_map_objectclass posixGroup aixAccessGroup
    #nss_base_group ou=aixgroup,?one
    #nss_map_attribute cn groupName
    #nss_map_attribute uniqueMember member
    #pam_login_attribute userName
    #pam_filter objectclass=aixAccount
    #pam_password clear
    
    # Netscape SDK LDAPS
    #ssl on
    
    # Netscape SDK SSL options
    #sslpath /etc/ssl/certs
    
    # OpenLDAP SSL mechanism
    # start_tls mechanism uses the normal LDAP port, LDAPS typically 636
    #ssl start_tls
    #ssl on
    
    # OpenLDAP SSL options
    # Require and verify server certificate (yes/no)
    # Default is to use libldap's default behavior, which can be configured in
    # /etc/openldap/pam_ldap.conf using the TLS_REQCERT setting.  The default for
    # OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes".
    #tls_checkpeer yes
    
    # CA certificates for server certificate verification
    # At least one of these are required if tls_checkpeer is "yes"
    #tls_cacertfile /etc/ssl/ca.cert
    #tls_cacertdir /etc/ssl/certs
    
    # Seed the PRNG if /dev/urandom is not provided
    #tls_randfile /var/run/egd-pool
    
    # SSL cipher suite
    # See man ciphers for syntax
    #tls_ciphers TLSv1
    
    # Client certificate and key
    # Use these, if your server requires client authentication.
    #tls_cert
    #tls_key
    
    # Disable SASL security layers. This is needed for AD.
    #sasl_secprops maxssf=0
    
    # Override the default Kerberos ticket cache location.
    #krb5_ccname FILE:/etc/.ldapcache
    
    # SASL mechanism for PAM authentication - use is experimental
    # at present and does not support password policy control
    #pam_sasl_mech DIGEST-MD5
    

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.