Пароль залогиненого пользователя

> получить пароль пользователя, нужно для сквозной авторизации в другом месте,

как не знаю, но сие в бубунтах как то организовано. Я когда то работал с kubuntu в консоли и обращал внимание, что введя sudo пароль в первый раз, продолжаешь выполнять другие команды с sudo, в том же терминале, и пароль больше не запрашивается.

может чего не то говорю,,, %)

афаик, просто sudo на 15 минут перестаёт требовать пароль, не факт, что он хранится.

Мне нужен тот пароль, который пользователь вводит при логине в gdm, а на sudo у него всё равно прав нет.

попробуй написать свой модуль для pam

Задача разовая (левак в отдельно взятой фирме, например) или массовая(делаешь что-то, что потом получит распространение)?

Если разовая, то можно аккуратно подправить исходники gdm...

Объясни более подробно, куда надо задублировать пароль пользователя.

Может, есть и другие пути решения. Например, написать свой враппер для passwd (сохранять пары $UID=<pass>), принудить сменить пароли, поиметь список. Потом на основании списка и переменной окружения $UID можно подсовывать нужные пароли (некая запускаемая от юзверя прога, которая посмотрит на UID и выдаст пароль). Как там защищаться дальше - это уже другая тема.

Надо авторизовать пользователя на ISA, это умеет firefox, squid и ntlmaps. Одного firefox недостаточно, должны работать любые приложения, да и сам firefox это делает не всегда, squid поднять пока возможности нет. Предполагаю поставить на каждой машине ntlmaps и закидывать ему в конфиг логин/пароль логинящегося пользователя (учётка доменная). Ну и переменным прокси задать локалхост. Типа ИСА-клиент :)

Посмотрел исходники gdm. Нифига непонятно :(

Видимо, экспорт пароля можно вкорячить куда-нибудь в verify-shadow, пробовать не стал - при обновлениях будет отваливаться, да и вообще очень сложная штука. Буду делать pam-модуль вот по этой статье: http://www.opennet.ru/base/dev/pam_linux.txt.html

Другие варианты всё ещё приветствуются (особенно такие, где не надо кодить)

Эм... Умеет ли ISA Cerberos? ИМХО нужно просто настроить Цербера и всё заработает. Покопай в этом направлении

Последний pam_exec с опцией expose_authtok поможет. Эта опция было относитнльно недавно добавлена, в дистрибутивах может быть более старая версия.

pam_script

Пробую.
В /etc/pam.d/gdm пишу
password optional pam_exec.so touch /home/dmitry/itw
и ничего, файл не появляется.
Что не так?

подсистема password выполняется при смене пароля.

А куда авторизация-то? ftp, ssh, ещё куда-то? Если ssh, то сделай авторизацию по ключу.

А его брать вообще где? Гугль одни архивы рассылок находит.

Если вы про pam_script, то
http://freshmeat.net/projects/pam_script/
http://linux.bononline.nl/linux/pamscript/01/build.html

Решилось так:

/etc/pam.d/gdm
auth optional pam_script.so expose=authtok onauth=/path/to/script

Скрипт
echo $PAM_AUTHTOK>/куда/надо

И да, всем спасибо.