Pam: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
Строка 18: Строка 18:
 
Естественно /root/pam_exec.sh для моего пользователя (или для теста - всегда) возвращает "успех".
 
Естественно /root/pam_exec.sh для моего пользователя (или для теста - всегда) возвращает "успех".
 
<BR><B>Это не сработало</B>
 
<BR><B>Это не сработало</B>
<BR>Т.е. на уровне PAM это конечно же работает- но ssh слишком умный <S>как утка</S> и имеет дополнительную проверку - вызывая системную ф-ю которая ничего не знает про PAM (а использует дедовские методы - /etc/passwd ... ) и не пускает с ошибкой:
+
<BR>Т.е. на уровне PAM это конечно же работает- но ssh слишком умный <S>как утка</S> и имеет дополнительную проверку - вызывая системную ф-ю <B>getpwnam</B> которая ничего не знает про PAM (а использует дедовские методы - /etc/passwd ... ) и не пускает с ошибкой:
 
<PRE>
 
<PRE>
 
</PRE>
 
</PRE>
Строка 26: Строка 26:
 
* NIS
 
* NIS
 
* DB
 
* DB
Я остановлюсь
+
Я остановлюсь
  +
 
==Links==
 
==Links==
 
* http://i-notes.org/centos-ssh-pam-radius-avtorizaciya/
 
* http://i-notes.org/centos-ssh-pam-radius-avtorizaciya/

Версия 22:39, 5 марта 2015


Linix PAM

Это статья про полную хуйню ерунду - от руководства поставлена задача: заводить пользователя вида user@domain.tld на линукс-боксах. Из ограничений - такой пользователь нужен только один в системе.
В линуксе нельзя завести пользователя с символом "@" в имени стандартными средствами (--force варианты я не расматриваю). Потому для хранения пользователей нужно использовать какое-то внешнее хранилище.
Все написаное относится к CentOS 6.5 - меня интересовала именно эта система и со всякими вашими убунтами я не тестировал :)

Решение

Краткое описание сложностей


Первое что пришло в голову - использовать PAM и не заморачиваться с хранением пользователя вообще. Сделать что то вроде такого в /etc/pam.d.sshd

auth       sufficient   pam_exec.so debug  expose_authtok  log=/root/pam_exec_debug.log /root/pam_exec.sh

Естественно /root/pam_exec.sh для моего пользователя (или для теста - всегда) возвращает "успех".
Это не сработало
Т.е. на уровне PAM это конечно же работает- но ssh слишком умный как утка и имеет дополнительную проверку - вызывая системную ф-ю getpwnam которая ничего не знает про PAM (а использует дедовские методы - /etc/passwd ... ) и не пускает с ошибкой:



Тут возможно несколько вариантов

  • LDAP
  • NIS
  • DB

Я остановлюсь

Links