Fedora C1 und C2 an LDAP?
Nils Philippsen
nphilipp at redhat.com
Mon Mar 7 15:52:56 UTC 2005
On Fri, 2005-03-04 at 21:04 +0100, Robert Rakowicz wrote:
> Nils Philippsen <nphilipp at redhat.com> writes:
>
> Hi,
>
> > On Sun, 2005-02-06 at 10:51 +0100, Robert Rakowicz wrote:
> > > Nils Philippsen <nphilipp at redhat.com> writes:
> > >
> > > Hi,
> > >
> > > > Schon mal versucht, ob es funktioniert, wenn Du authconfig verwendest
> > > > anstatt die Konfigurationsdateien händisch zu ändern (und dabei
> > > > vermutlich was zu vergessen ;-)? Du solltest übrigens nur in
> > > > pam.d/system-auth etwas ändern müssen. Wenn Du wissen willst, was
> > > > passiert, kannst Du den authconfig ja unter strace laufen lassen ;-).s
> > >
> > > an sich ein guter Vorschlag, bringt allerdings nur ein halben
> > > Erfolg. $USER können sich anmelden und z.B Passwort ändern. Ein su -
> > > $USER geht allerings nicht - falsches Kennwort.
> >
> > Irgendwas auffälliges in /var/log/secure bzw. messages?
>
> Leider nicht.
>
> >
> > > Noch eine Idee? Übrigens authconfig hat u.a auch meine ldap.conf
> > > verändert (RH/Fedora) war nicht so von dem Eintrag
> > >
> > > ,----
> > > | uri ldap://host.domain.de
> > > `----
> >
> > authconfig trägt den LDAP Server und die Search Base ein, ja.
>
>
> Na ja, dafür gibt es aber kein mir bekanntes Grund. Ich kann zwar z.Z
> ohne su - $AndererUser leben/arbeiten, schön finde ich es nicht und
> würde mich ja auch sehr interessieren warum das nicht tut.
Versuch's mal hiermit als /etc/pam.d/system-auth:
---- 8< ----
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so
account required /lib/security/$ISA/pam_unix.so broken_shadow
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so
account required /lib/security/$ISA/pam_permit.so
password requisite /lib/security/$ISA/pam_cracklib.so retry=3 type=
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/$ISA/pam_ldap.so use_authtok
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
session optional /lib/security/$ISA/pam_ldap.so
---- >8 ----
und hiermit als /etc/pam.d/su:
---- 8< ----
#%PAM-1.0
auth sufficient /lib/security/$ISA/pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient /lib/security/$ISA/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required /lib/security/$ISA/pam_wheel.so use_uid
auth required /lib/security/$ISA/pam_stack.so service=system-auth
account required /lib/security/$ISA/pam_stack.so service=system-auth
password required /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so close must be first session rule
session required /lib/security/$ISA/pam_selinux.so close
session required /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so open and pam_xauth must be last two session rules
session required /lib/security/$ISA/pam_selinux.so open multiple
session optional /lib/security/$ISA/pam_xauth.so
---- >8 ----
HTH,
Nils
--
Nils Philippsen / Red Hat / nphilipp at redhat.com
"They that can give up essential liberty to obtain a little temporary
safety deserve neither liberty nor safety." -- B. Franklin, 1759
PGP fingerprint: C4A8 9474 5C4C ADE3 2B8F 656D 47D8 9B65 6951 3011
More information about the Fedora-de-list
mailing list