Portál AbcLinuxu, 1. června 2025 07:15


Dotaz: Kerberos - v loginu přes X se nevytovří lístek

10.2.2010 11:05 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Kerberos - v loginu přes X se nevytovří lístek
Přečteno: 270×
Odpovědět | Admin
Mám problém při loginu do X-ek. Ověření hesla sice proběhne přes Ldap+Kerbera, ale nevytvoří se mi Kerberos lístek. Musím jej udělat manuálně po přihlášení. Přitom při přihlášení přes CMDLine se mi lístek vytvoří. Obsah PAM je následující: 
 cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_krb5.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_krb5.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_krb5.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_mkhomedir.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_krb5.s
Nevíte, kde mám chybu?

Předem děkuji za rady,

Řešení dotazu:

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

10.2.2010 11:06 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Kerberos - v loginu přes X se nevytovří lístek
Odpovědět | | Sbalit | Link | Blokovat | Admin
PS. poslední řádek system-auth je: 
session     optional      pam_krb5.so
Nějak mi to poslední písmenko vypadlo při kopírování.
10.2.2010 12:04 arno3t
Rozbalit Rozbalit vše Re: Kerberos - v loginu přes X se nevytovří lístek
Máte v adresáři /etc/pam.d správnou konfiguraci v souboru od okenního manažera xdm (g/kdm)? Přebírá nějak informace ze system-auth? Použití souboru system-auth mi není úplně jasné, protože skladba /etc/pam.d je částečně závislá na distribuci a ani v Debianu ani v OpenSUSE takový soubor nemám.
10.2.2010 20:25 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Kerberos - v loginu přes X se nevytovří lístek
V /etc/pam.d/xdm mám: 
 cat /etc/pam.d/xdm 
#%PAM-1.0
auth       required     pam_nologin.so
auth       include      system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth
a v /etc/pam.d/slim: 
 cat /etc/pam.d/slim 
# File autogenerated by pamd_mimic in pam eclass


auth    include         system-auth
account include         system-auth
password        include         system-auth
session include         system-auth
Jako správce přihlášení používám právě slim.
11.2.2010 11:24 arno3t
Rozbalit Rozbalit vše Re: Kerberos - v loginu přes X se nevytovří lístek
To vypadá dobře. Zkoušel jste dát parametr debug za pam_krb5.so u auth (a možná i u dalších) a porovnat logy při přihlášení z konzole a z X? Podle manualu je pam_krb5.so zodpovědný za uložení ticketu do cache, takže bych hledal chybu u tohoto modulu.
11.2.2010 11:40 Arno3t | skóre: 23 | Uherské Hradiště
Rozbalit Rozbalit vše Re: Kerberos - v loginu přes X se nevytovří lístek
Omlouvám se, to porovnání z konzole a z X je blbost. Já jsem se mylně domníval, že při přihlášení z konzole vám to funguje, protože jsem si nepřečetl pořádně počáteční dotaz. V každém případě debug je dobré zkusit. Možná i použití try_first_pass misto use_first_pass by mohlo napovědět. Nemáte třeba uživatele včetně hesla definovaného i lokálně? Pak byste se přihlásil i bez ověření přes kerberos.
11.2.2010 11:46 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Kerberos - v loginu přes X se nevytovří lístek
V konzoli mi to právě funguje. JEnom v Xkách ne.
11.2.2010 12:30 Arno3t | skóre: 23 | Uherské Hradiště
Rozbalit Rozbalit vše Re: Kerberos - v loginu přes X se nevytovří lístek
Asi mám s tím čtením trochu vetší potíže :-) . Jak vypadá /etc/pam.d/login (pro přihlášení z konzole)?
11.2.2010 12:48 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Kerberos - v loginu přes X se nevytovří lístek
Tento soubor vypadá tak: 

auth       required     pam_securetty.so
auth       required     pam_tally.so file=/var/log/faillog onerr=succeed
auth       required     pam_shells.so
auth       required     pam_nologin.so
auth       include      system-auth

account    required     pam_access.so
account    include      system-auth
account    required     pam_tally.so file=/var/log/faillog onerr=succeed

password   include      system-auth

session    required     pam_env.so
session    optional     pam_lastlog.so
session    optional     pam_motd.so motd=/etc/motd
session    optional     pam_mail.so

session    include      system-auth
Řešení 1× (filbar (tazatel))
11.2.2010 13:00 Arno3t | skóre: 23 | Uherské Hradiště
Rozbalit Rozbalit vše Re: Kerberos - v loginu přes X se nevytovří lístek
Tak na první pohled tam není nic podstatného. Nicméně, ještě je možné, že máte starý SLiM. Mrkněte sem.
11.2.2010 13:21 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Kerberos - v loginu přes X se nevytovří lístek
Díky, asi to tak je. Verze co je v Gentoo nepoužívá ten patch.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.