pam_ldap.so пишет кривые пароли!

0

1

У меня прописано:

$ fgrep pam_password /etc/ldap.conf | grep -v '^#'
pam_password md5

Пробовал и дефолтный pam_ldap в Ubuntu 11.10, и собирал из сырцов с опциями:

./configure --prefix=/ --sysconfdir=/etc --localstatedir=/var --with-ldap-conf-file=/etc/ldap.conf  --with-ldap-secret-file=/etc/ldap.secret

В итоге, чтоб ему пусто было, pam_ldap.so упорно пишет {crypt}'ованные пароли, которые почему-то даже сам OpenLDAP для простого BIND'а использовать не может.
Возился с настройкой passwd для связки с LDAP уже довольно давно, но тогда всё работало нормально, с таким злым багом первый раз сталкиваюсь.
Опция должна называться точно именно pam_password, потому что:

$ fgrep -A2 pam_crypt /etc/ldap.conf
# HEADS UP: the pam_crypt, pam_nds_passwd,
# and pam_ad_passwd options are no
# longer supported.

Ссылка

←	sendmail как доставлять письма предназначеные для своего домена?

Опять скрипт

→

В каких случаях пишет?

Полный конфиг показывайте.

~~zgen~~ ★★★★★
(10.01.12 15:58:13 MSK)

Ответ на: комментарий от zgen 10.01.12 15:58:13 MSK

base dc=example,dc=com
uri ldap://soa.example.com/
ldap_version 3
binddn uid=nss,ou=Services,ou=Accounts,ou=DSA
bindpw NeSkaju
rootbinddn cn=config
scope sub
timelimit 2
bind_timelimit 1
bind_policy soft
pam_password md5
pam_crypt md5
nss_base_passwd		ou=people,dc=example,dc=com?one
nss_base_shadow		ou=people,dc=example,dc=com?one
nss_base_group		ou=groups,dc=example,dc=com?sub
ssl starttls
tls_cacertfile /etc/ssl/ca/ca.crt
tls_cert	/etc/ssl/some-ws.crt
tls_key		/etc/ssl/some-ws.key
nss_initgroups_ignoreusers avahi,avahi-autoipd,backup,bin,colord,daemon,dnsmasq,games,gdm,gnats,hplip,irc,kernoops,libuuid,lightdm,list,lp,mail,man,messagebus,mysql,news,postfix,proxy,pulse,root,rstudio-server,rtkit,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,uml-net,usbmux,uucp,www-data,xrdp,OHzabbix

DRVTiny ★★★★★
(10.01.12 16:24:29 MSK) автор топика

Ссылка

Ответ на: комментарий от zgen 10.01.12 15:58:13 MSK

В случаях смены пароля утилитой passwd и пишет, а когда же ещё?

DRVTiny ★★★★★
(10.01.12 16:25:24 MSK) автор топика

Ответ на: комментарий от DRVTiny 10.01.12 16:25:24 MSK

еще

/etc/pam.d/common-password

или аналог в вашем дистре.

И, чтобы мне проще было -

зафигачте через passwd какой-нибудь тестовый пароль и выложите тут в чистом виде и получившийся в ldap'е хеш от него (см. slapcat).

~~zgen~~ ★★★★★
(10.01.12 16:39:12 MSK)

Ответ на: комментарий от zgen 10.01.12 15:58:13 MSK

Solved!
Нужно использовать pam_password exop, указывать olcPasswordHash: {MD5} (или что там удобно) в cn=config - и будет счастье!
pam_password в случаях, отличных от exop, заставляет pam_ldap.c doing something nasty/awful, so dont try this shit и оно не будет пробовать вас :)

DRVTiny ★★★★★
(10.01.12 16:40:12 MSK) автор топика

Ответ на: комментарий от DRVTiny 10.01.12 16:40:12 MSK

Ну вот, так неинтересно. :(

~~zgen~~ ★★★★★
(10.01.12 16:42:59 MSK)

Ссылка

Ответ на: комментарий от zgen 10.01.12 16:39:12 MSK

зафигачте через passwd какой-нибудь тестовый пароль и выложите тут в чистом виде и получившийся в ldap'е хеш от него (см. slapcat).

В чистом виде 1234567
Это как после passwd при pam_password md5:

{crypt}$1$He5.MZQ7$NP7EZ/dlfLPiQV6NT4DNN/

Это как он будет выглядеть в slappasswd:

$ slappasswd -h '{CRYPT}' -s 1234567
{CRYPT}wswt2oXol.mgk

Но хочется вообще вот этого:

{MD5}/OqSD3QStdp74M9CuMk3WQ==

DRVTiny ★★★★★
(10.01.12 16:46:31 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	sendmail как доставлять письма предназначеные для своего домена?

Admin

Опять скрипт

→

Похожие темы