PAM и пустые пароли

Спроси у ерзента

пустые пороли

бездуховность...

сделать доступ к шарам samba-юзерам с пустыми паролями

guest: ok

Не?

пороли

Но недостаточно.

На сколько я помню начиная с 98-го года PAM был во всех дистрибутивах, и есть сейчас. Это какбы и есть обычная система аунтификации. Возможно у вас гдето в политиках пама прописан запрет на пустые пароли - смотрите в /etc/pam.d нужный реалм. Что касаемо самбы - то я уже давно ее не трогал, но раньше у нее была своя отдельная база пользователей.

Вы путаете, обычная - это когда пароли хранятся в /etc/shadow. А у меня даже утилита /usr/bin/passwd - другая, в ней опции -d нет.

Обычная - это когда пароли храняться в пассвд, а шедоу и нету вообще. Только так не делают уже лет двести, а пам -стандарт с хешами паролей в шедоу.

У меня в shadow - только имена пользователей, никаких зашифрованных паролей нет и passwd - другой, вобщем не так как в Debian и Slackware.

В Slackware не используется PAM.

у меня в генте тоже собрано без pam, паролей в /etc/passwd нет

Хорошо, в Altlinux - PAM, в Slackware - не PAM. В Slackware команды «passwd -d user» и «smbpasswd -d user» работают, в Altlinux - нет. Вопрос то практический, как в Altlinux разрешить аутентификацию с пустым паролем?

Скорее всего, дело в другом: в альте PAM, вероятно, настроен на какой-то экзотический способ аутентификации (не pam_unix.so). Потому как PAM — это, действительно, сейчас де-факто стандарт, и лично у меня в арче passwd работает.

Что в файле /etc/pam.d/system-auth?

(Хотя это я так, мимо проходил. В том, как устроена аутентификация в самбе, я не разбираюсь.)

Что в файле /etc/pam.d/system-auth?

#%PAM-1.0
auth		[success=2 default=ignore]	pam_tcb.so shadow fork prefix=$2y$ count=8 nullok
auth		requisite	pam_succeed_if.so uid >= 500 quiet
auth		required	pam_ldap.so use_first_pass
auth		required	pam_permit.so

account		[success=2 default=ignore]	pam_tcb.so shadow fork
account		requisite	pam_succeed_if.so uid >= 500 quiet
account		required	pam_ldap.so
account		required	pam_permit.so

password	required	pam_passwdqc.so config=/etc/passwdqc.conf
password	[success=2 default=ignore]	pam_tcb.so use_authtok shadow fork prefix=$2y$ count=8 nullok write_to=tcb
password	requisite	pam_succeed_if.so uid >= 500 quiet
password	required	pam_ldap.so use_authtok

session		[success=2 default=ignore]	pam_tcb.so
session		requisite	pam_succeed_if.so uid >= 500 quiet
session		required	pam_ldap.so
session		required	pam_mktemp.so
session		required	pam_mkhomedir.so silent
session		required	pam_limits.so

«smbpasswd -d» не устанавливает пользователю пустой пароль

Скорее всего требуется

smbpasswd -n username

+ в секции global указать

null passwords = yes

smbpasswd info: link

У меня в shadow - только имена пользователей

В ALT используется tcb: http://www.openwall.com/tcb/

смотри в /etc/tcb/<user>/shadow

У меня Alt Linux 7 KDesktop.
как в Altlinux разрешить аутентификацию с пустым паролем ?

Но если вопрос про GUI, у KDE что-то там своё есть про беспарольный вход.

Переключение с tcb на обычный PAM я так понимаю - невозможно.

Переключение с tcb на обычный PAM я так понимаю - невозможно.

Это - разные сущности. Есть PAM. через него работают. PAM куда-то смотрит. Может смотреть в обычный shadow, может в tcb, может в sql (разный), radius, sasl, ldap и т.д. Переключить на обычный shadow, вероятно, можно, но зачем ? Я не пробовал, но, глядя на /etc/pam.d/system-auth-local, рискну предположить, что достаточно убрать тут упоминание pam_tcb.so (но приготовь Rescue CD прежде, чем пробовать).

Только, ещё раз, а зачем ?

В данном случае это вопрос не сколько DE, сколько DM. Поскольку Display Manager запускается от root, он может залогинить любого пользователя без указания пароля (su от root не запрашивает пароль, например, а чем DM хуже?). То есть техническая возможность есть без всяких PAM. Вопрос в том захочет ли DM это делать - а это зависит от его настроек. Поскольку многим пользователям нужен такой функционал, многие DM имеют такую опцию.

Есть PAM. через него работают.

А что именно через него работает? login, su и sudo вызывают passwd? passwd вызывает PAM?. PAM вызывает какую-либо библиотеку, осуществляющую сверку пароля по shadow, tcb или radius? А если удалённый пользователь пытается войти через openssh или получить доступ к samba-шаре то тут какой алгоритм аутентификации будет?

Только, ещё раз, а зачем ?

Да потому что я воспринимаю GNU/Linux как операционную систему где любой компонент может быть настроен на любой лад. Вот и хочу поиграться с настройками. Также давно гложет вопрос можно ли заменить passwd на альтернативную утилиту, которая будет отображать ввод пароля звёздочками.

А что именно через него работает ?

То, что импользует PAM. :-) Это может быть всё, что угодно:
http://www.kernel.org/pub/linux/libs/pam/whatispam.html

А если удалённый пользователь пытается войти через openssh или получить доступ к samba-шаре

Как настроишь.
/etc/openssh/sshd_config
/etc/samba/smb.conf

где любой компонент может быть настроен на любой лад.

А, тогда пробуй. Всё можно. :-)