abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 18:11 | IT novinky

    Společnost IBM představila novou generaci svých serverů: IBM Power11.

    Ladislav Hagara | Komentářů: 0
    včera 15:33 | Komunita

    Multiplatformní digitální pracovní stanice pro práci s audiem Ardour byla postavena na GTK2. Vývojáři neplánovali její portaci na GTK3 nebo GTK4. Naopak, v lednu loňského roku si vytvořili vlastní fork GTK2 s názvem YTK. Ten v únoru letošního roku přestal být volitelným a nově byla zcela odstraněna podpora GTK2.

    Ladislav Hagara | Komentářů: 7
    včera 11:33 | Nová verze

    Byla vydána nová verze 6.4 linuxové distribuce Parrot OS (Wikipedie). Jedná se o linuxovou distribuci založenou na Debianu a zaměřenou na penetrační testování, digitální forenzní analýzu, reverzní inženýrství, hacking, anonymitu nebo kryptografii. Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    včera 11:22 | Pozvánky

    Společnost initMAX pořádá sérii bezplatných webinářů věnovaných novému Zabbixu 7.4. Podrobnosti a registrace na webu initMAX.

    … více »
    Heřmi | Komentářů: 0
    včera 03:44 | Nová verze

    Byla vydána verze 7.0 open source platformy pro správu vlastního cloudu OpenNebula (Wikipedie). Kódový název nové verze je Phoenix. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 1
    včera 00:11 | Nová verze

    E-mailový klient Thunderbird byl vydán ve verzi 140.0 ESR „Eclipse“. Jde o vydání s dlouhodobou podporou, shrnující novinky v upozorněních, vzhledu, správě složek a správě účtů. Pozor, nezaměňovat s průběžným vydáním 140.0, které bylo dostupné o týden dříve.

    Fluttershy, yay! | Komentářů: 14
    7.7. 15:11 | IT novinky

    Organizace Video Games Europe reprezentující vydavatele počítačových her publikovala prohlášení k občanské iniciativě Stop Destroying Videogames.

    Ladislav Hagara | Komentářů: 0
    7.7. 13:22 | IT novinky

    Společnost Raspberry Pi nově nabzí Raspberry Pi Camera Module 3 Sensor Assembly, tj. samostatné senzorové moduly z Raspberry Pi Camera Module 3.

    Ladislav Hagara | Komentářů: 0
    7.7. 13:00 | Nasazení Linuxu

    Cathode Ray Dude v novém videu ukazuje autorádio Empeg Car (později Rio Car) z let 1999–2001. Šlo o jeden z prvních přehrávačů MP3 do auta. Běží na něm Linux. Vyrobeno bylo jen asi pět tisíc kusů, ale zůstala kolem nich živá komunita, viz např. web riocar.org.

    Fluttershy, yay! | Komentářů: 1
    7.7. 02:11 | Nová verze

    Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána v nové verzi 2025.7.

    Ladislav Hagara | Komentářů: 0
    Jaký je váš oblíbený skriptovací jazyk?
     (60%)
     (27%)
     (7%)
     (2%)
     (1%)
     (1%)
     (3%)
    Celkem 371 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    Dotaz: PAM, LDAP a expirace hesla

    6.2.2014 21:27 kubik | skóre: 14 | blog: KubikuvBlog
    PAM, LDAP a expirace hesla
    Přečteno: 318×
    Snažím se rozjet autentizaci klienta s Debianem Jessie pomocí PAM modulu k LDAP serveru (pravděpodobně OpenLDAP). Skoro všechno klape, kromě nesmyslné hlášky, která se objevuje během přihlašování (je jedno, jestli z KDM nebo z konzole):

    pam_ldap(su:account): password expired 6106 days ago

    To číslo se každý den zvýší. Účet vznikl asi před 150 dni a nepomůže ani změna hesla (která se povede).

    Dříve si dokonce každé přihlášení vynucovalo změnu hesla. To už jsme potlačil v /etc/pam.d/common-account (aspoň myslím, že to byl zrovna tento soubor) změnou z new_authtok_reqd=done na new_authtok_reqd=ignore.

    Na stanici s Kubuntu 13.?, Windows XP nebo MAC OS X se nic takového neobjevuje.

    Nevíte prosím někdo, jak se toho zbavit? Stačilo by mi, kdyby se to neobjevovalo při přihlašování z KDM. Děkuji předem za všechny náměty.

    Řešení dotazu:


    Odpovědi

    6.2.2014 21:50 ewew | skóre: 40 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: PAM, LDAP a expirace hesla

    Podľa ktorého návodu si to skúšal ? Pozri si tento návod

    Root v linuxe : "Root povedal, linux vykona."
    6.2.2014 22:43 kubik | skóre: 14 | blog: KubikuvBlog
    Rozbalit Rozbalit vše Re: PAM, LDAP a expirace hesla
    Podle jiných, třeba podle tohoto. Takhle od pohledu mám pocit, že jsou tam trochu jiné konfigurační soubory /etc/pam.d/common*. Přesně to zjistím až zítra v práci. Díky za tip.

    Po pravdě řečeno ty konfiguráky PAMu jsou pro mě dost nepřehledné, navíc v různých zdrojích jsou popisovány různě. A trochu se bojím s tím nahodile experimentovat, abych to moc nerozsekal.
    6.2.2014 22:58 ewew | skóre: 40 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: PAM, LDAP a expirace hesla

    Presne neviem čo spôsobuje danú hlášku ale predpokladám, že tam nemáš udaj o čase vytvorenia konta. Používaš su po logine ?

    Root v linuxe : "Root povedal, linux vykona."
    6.2.2014 23:21 kubik | skóre: 14 | blog: KubikuvBlog
    Rozbalit Rozbalit vše Re: PAM, LDAP a expirace hesla
    To su z toho logu je tam proto, že jsem to zkoušel po lokálním přihlášení k lokálnímu účtu a následně se v terminálu přehlásit na LDAPového uživatele. Stejně to dopadne při přihlašování k LDAPovému účtu rovnou z KDM.
    6.2.2014 23:24 kubik | skóre: 14 | blog: KubikuvBlog
    Rozbalit Rozbalit vše Re: PAM, LDAP a expirace hesla
    Jo, a kde bych měl mít údaj o čase vytvoření konta? Na serveru? Do toho já zasahovat moc nemůžu. A proč to nevadí Kubuntu? Těch 6000 dní je přes 16 let, to ten server myslím ani neexistoval.
    6.2.2014 23:00 ewew | skóre: 40 | blog: ewewov_blog
    Rozbalit Rozbalit vše Re: PAM, LDAP a expirace hesla

    Urob si založne kopie súborov a pokiaľ možno nereštartuj system alebo si zadefinuj v pam aby pri UID=0 preskočilo ldap. To znamená mať lokálného roota. Lepšie riešenie je dať ďalší PC na ktorom nemáš dôležite data.

    Root v linuxe : "Root povedal, linux vykona."
    6.2.2014 23:26 kubik | skóre: 14 | blog: KubikuvBlog
    Rozbalit Rozbalit vše Re: PAM, LDAP a expirace hesla
    Zkusím. Lokálního roota mám. S daty taky není moc problém, akorát by se mi to nechtělo instalovat znovu.
    Řešení 2× (kubik (tazatel), ewew)
    19.2.2014 17:14 kubik | skóre: 14 | blog: KubikuvBlog
    Rozbalit Rozbalit vše Re: PAM, LDAP a expirace hesla

    Vyřešeno:

    apt-get install libnss-ldapd libpam-ldapd (nscd a nslcd je patrně v závislostech, pokud ne, tak zkontrolujte)

    Je velmi důležité, aby to byly balíčky s D na konci. Dále jsem doinstaloval ještě balíčky apt-get install libpam-winbind libpam-mount libnss_winbind libnss-hostname, i když si nejsem jistý, jestli je opravdu potřebuju (kromě toho libpam_mount). Budu rád, pokud to tu někdo vysvětlí.

    Všechny konfigurace se provedou během instalace, ale je asi lepší zopakovat příkazem: dpkg-reconfigure libpam-ldapd Mám za to, že při tom proběhne více otázek.

    Nakonec jsem přidal do /etc/pam.d/common-session řádek:
    session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
    Je nutné to dát před řádek s pam_mount a kontrolovat při každé aktualizaci nebo rekonfiguraci PAM modulů. Jiný ruční zásah do /etc/pam.d/* jsem nedělal.

    Aby fungovalo připojování síťové složky při přihlášení (PAM modul pam_mount), je nutné mít ještě zeditovaný soubor /etc/secret/pam_mount.conf.xml. Stačí přidat řádek:
    <volume user="*" fstype="cifs" server="IP nebo název stroje" path="cesta na stroji/%(DOMAIN_USER)" mountpoint="/někam/%(DOMAIN_USER)/Disk_P" options="sec=ntlm,nodev,nosuid" />
    Místo user="*" je lepší dát filtr na skupinu sgrp="Domain User", poněvadž to jinak vytváří homedir také pro systémové a lokální uživatele, chce to pro ně hesla a prostě se to na tom zastavuje.

    Pro jistotu ještě uvádím, že je nutné mít zanesený LDAP v /etc/nsswitch.conf:
    passwd: file ldap
    group: file ldap
    shadow: file ldap

    Možná je potřeba upravit /etc/ldap/ldap.conf, případně /etc/ldap.conf ale bez záruky, nemám teď možnost to ověřit:
    BASE dc=example,dc=com
    URI ldap://ldaps1.example.com/

    Uvítám jakékoliv další rady, náměty na vylepšení, případně vysvětlení.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.