LINUX.ORG.RU
ФорумAdmin

PAM+LDAP+SAMBA смена пароля пользователем


0

0

Доброго времени суток. Проблема следующая, точнее их две. Есть сеть на ASPLinux 11.2 На сервере поднят лдап и самба, на рабочих станциях настроена PAM авторизация пользователей на лдапе и подключение шар самбы с помощью модуля pam_mount. Пользователи линукса и самбы хранятся в лдап, все работает.

Проблемы возникают когда пользователи пытаются менять свой пароль .... :( Проблема номер раз - в лдап меняется только пароль линукса, а пароль самбы остается неизменным в результате шары не подключаются ... Проблема номер два - при смене пароля выполняется проверка силы пароля - по просто маниакальным критериям :) вопрос - как сделать так, чтоб автоматически вместе с паролем линукса менялся и пароль самбы и как настроить правила проверки силы пароля ?

Настройки модуля pam_cracklib приводят к изменениям но не совсем к тем, которых хотелось бы .... в принципе устроило бы вообще без проверки, а оставить все на совесть пользователей ....

/etc/pam.d/system-auth

auth required /lib/security/$ISA/pam_env.so

auth optional /lib/security/$ISA/pam_mount.so

auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass

auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok use_first_pass

auth required /lib/security/$ISA/pam_deny.so

account sufficient /lib/security/$ISA/pam_ldap.so

account required /lib/security/$ISA/pam_unix.so broken_shadow

account sufficient /lib/security/$ISA/pam_localuser.so

account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet

account required /lib/security/$ISA/pam_permit.so

password requisite /lib/security/$ISA/pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3

password required /lib/security/$ISA/pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=den

password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow

password sufficient /lib/security/$ISA/pam_ldap.so use_authtok

password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so

session required /lib/security/$ISA/pam_unix.so

session required /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel/ umask=077

session optional /lib/security/$ISA/pam_ldap.so

session optional /lib/security/$ISA/pam_mount.so

Зарание благодарю за ответы ...

1. Отобрать passwd у обычных юзеров (которые есть в самбе), и научить использовать для смены пароля не passwd, а smbpasswd

2. В конифге самбы включить ldap password sync

Либо

1. Включить pam_smb_passwd, пароли юзеров проверять не через LDAP, а через pam_smb_passwd на ту же самбу

no-dashi ★★★★★
()

Насчет проверки силы пароля ... поменял библиотеку pam_unix.so из другого дистрибутива и она адекватно начала принимать параметры проверки сложности пароля. Остается вопрос касательно смены пароля в самбе и лдапе ....

corvinav
() автор топика
Ответ на: комментарий от no-dashi

насчет отобрать passwd - не получиться .... сеть болие 500 компутеров, текучка на предприятии большая а кадры далеко не всегда адекватны :) надо чтоб все происходило стандартными встроенными графическими средствами ...

за ответ спасибо, щас попробую встроить pam_smb_passwd в цепочку password после ldap ... или вместо, с синхронизацией паролей самбы с системой ... незнаю как лучше будет ...

corvinav
() автор топика
Ответ на: комментарий от no-dashi

> Включить pam_smb_passwd, пароли юзеров проверять не через LDAP, а через pam_smb_passwd на ту же самбу

Эта вещь на самом деле только притворяется, что работает. После настройки проверка возможности смены окончательно устаревшего пароля (ну болел пользователь) обязательна.

AEP ★★★★★
()
Ответ на: комментарий от AEP

И еше проверка, что при смене пароля всеми возможными способами (passwd, smbpasswd, ctrl+alt+del в windows) изменяется дата его устаревания.

AEP ★★★★★
()

Наплевать на пароли самбы и поднять kerberos. С ним точно никаких проблем не будет. ;)

anonymous
()

У меня:

password required pam_cracklib.so difok=2 minlen=7 dcredit=2 ocredit=2 retry=3 #password optional pam_unix.so nullok use_authtok shadow md5 #password sufficient pam_localuser.so password optional pam_ldap.so use_first_pass password sufficient pam_smbpass.so use_first_pass use_authtok password required pam_deny.so

anonymous
()

У меня:

password required pam_cracklib.so difok=2 minlen=7 dcredit=2 ocredit=2 retry=3 #password optional pam_unix.so nullok use_authtok shadow md5 #password sufficient pam_localuser.so password optional pam_ldap.so use_first_pass password sufficient pam_smbpass.so use_first_pass use_authtok password required pam_deny.so

anonymous
()
Ответ на: комментарий от anonymous

Блядь

password    required pam_cracklib.so difok=2 minlen=7 dcredit=2 ocredit=2 retry=3
#password    optional pam_unix.so nullok use_authtok shadow md5
#password    sufficient pam_localuser.so
password    optional pam_ldap.so use_first_pass
password    sufficient pam_smbpass.so use_first_pass use_authtok
password    required pam_deny.so

anonymous
()
Ответ на: комментарий от no-dashi

пробую настроить авторизацию через pam_smb_auth - результат - при попытке авторизации выдает неправильный пароль. В файле pam_smb.conf настройки прописаны. - Судя по логам самбы на сервере - авторизация сервером принимается, а на локальной станции модуль считает, что нет.

модуль pam_smbpass либо делает вид, что все работает, но на самом деле пароль не меняет либо выдает сообщение User not known to the underlying .......

pam_smb-1.1.7-6, samba-3.0.24-6.112asp

corvinav
() автор топика
Ответ на: комментарий от corvinav

забыл - команда smbpasswd -r х.х.х.х пароль нормально меняет

corvinav
() автор топика

Помогите, в чем может быть проблема, хотя бы предположения. При попытке поменять пароль с помощью команды passwd пишет - все ок, но меняет пароль только на лдап

в логах появляется сообщение

localhost PAM_smbpass[19434]: Failed to find entry for user tst

настройки пам:

auth required /lib/security/$ISA/pam_env.so

auth optional /lib/security/$ISA/pam_mount.so

auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass

auth sufficient /lib/security/$ISA/pam_smb_auth.so use_first_pass

auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok use_first_pass

auth required /lib/security/$ISA/pam_deny.so

account sufficient /lib/security/$ISA/pam_ldap.so

account required /lib/security/$ISA/pam_unix.so broken_shadow

account sufficient /lib/security/$ISA/pam_localuser.so

account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet

account required /lib/security/$ISA/pam_permit.so

password sufficient /lib/security/$ISA/pam_unix.so nullok md5

password sufficient /lib/security/$ISA/pam_smbpass.so use_first_pass use_authtok

password sufficient /lib/security/$ISA/pam_ldap.so try_first_pass

password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so

session required /lib/security/$ISA/pam_unix.so

session required /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel/ umask=077

session optional /lib/security/$ISA/pam_ldap.so

session optional /lib/security/$ISA/pam_mount.so

corvinav
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.