Portál AbcLinuxu, 30. dubna 2025 12:44

Odkazy na informace o PAM

20.11.2005 23:47 | Přečteno: 1415× | Linux | poslední úprava: 21.11.2005 10:21

Zrovna procházím a zařazuju různé zápisky a narazil jsem na poznámky k PAMu, třeba se to někomu bude hodit...

pam_ccred

Pokud používáte LDAP server pro uchovávání informací o uživatelských účtech, mlžče se hodit pam_ccred. Kdybyste tu našli chybu, tak mi prosím napište kde ať jí opravím.

V případě výpadku LDAP serveru případně poruchy nějakého síťového prvku vzniká docela nepříjemný problém s ověřením uživatele přes síť proti adresířovému serveru. Částečně se dá řešit pomocí PAM modulu pam_ccred, který umožňuje kešovat přihlašovací informace.

/etc/pam.d/common-auth:

auth    sufficient      pam_unix.so
auth    [authinfo_unavail=ignore success=1 default=die] pam_ldap.so use_first_pass
auth    [default=done]  pam_ccreds.so action=validate use_first_pass
auth    [default=done]  pam_ccreds.so action=store use_first_pass
auth    [default=done]  pam_ccreds.so action=update use_first_pass

/etc/pam.d/common-account:

account sufficient      pam_unix.so nullok_secure
account sufficient      pam_ldap.so
account required        pam_permit.so

Přihlásíme se do systému, když normálně funguje LDAP server a zkontrolujeme jeslti se nám uložily informace do cache. 

vodik:/var/cache# cc_dump 
Credential Type  User             Service  Cached Credentials  
----------------------------------------------------------------------------------
Salted SHA1      tsunami          any     80141f0721cf1eeaca6d182db474ed7eeec0925e

Máme také možnost vyzkoušet, jestli cache obsahuje správné údaje zkušebním přihlášením: 

vodik:/var/cache# cc_test -validate any tsunami heslo /var/cache/.security.db 
pam_cc_validate_credentials: Success

Zastavte LDAP server (/etc/init.d/slapd stop) a zkuste se přihlásit 

[uzivatel@vodik]$ su - tsunami
Password: 
You have been logged on using cached credentials.
tsunami@vodik:~$

pam_chroot

chrootne uzivatele do daneho adresare

Zapnutí tohoto modulu jejednoduché, stačí v /etc/pam.d k požadované službě přidat:

session    required     pam_chroot.so debug

Do konfiguráku /etc/security/chroot.conf stačí zapsat username a kam se chrootuje:

user	/chroot/user

pam_mkhomedir

Pokud potřebujete uživateli automaticky založit domácí adresář při jeho prvním přihlášení do systému, můžete využít modul pam_mkhomedir.

session required        pam_mkhomedir.so skel=/etc/skel/ umask=077
       

Hodnocení: 100 %

        špatnédobré        

Anketa

Měníte nastavení PAMu?
 (28 %)
 (59 %)
 (13 %)
Celkem 32 hlasů

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

20.11.2005 23:58 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Odkazy na informace o PAM
Odpovědět | Sbalit | Link | Blokovat | Admin
Když ten zápisek vidím na svém malém monitoru, jak přetejká doprava, tak budu muset změnit styl psaní. Nejdřív je potřeba zapsat tak jednu normostranu obecných keců a pak až začít umísťovat příklady a výpisy :-(
-- Nezdar není hanbou, hanbou je strach z pokusu.
rADOn avatar 21.11.2005 00:25 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše pam_mount
Odpovědět | Sbalit | Link | Blokovat | Admin
jeste bych pripojil pam_mount. slouzi to prekvapive k automatickemu mountovani pri loginu. bezva wjec pokud chcete napriklad pripojit widlacky smb share a nepsat pokazde znovu heslo, nerkuli psat heslo nekam do souboru (pambu s nami a paranoinu na vas) samozrejme jen kdyz je login a widlacke heslo stejne.
"2^24 comments ought to be enough for anyone" -- CmdrTaco

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.