Discussion:
saslauthd failback mechanism
Gabor HALASZ
2006-11-21 16:47:04 UTC
Permalink
Lehet ilyet? Azt akarom, hogy ha nem sikerul a usert authentikalni (nem
elerheto a tavoli authentikator), akkor megadnek valami tartalek
adatbazist, ahonnan egy (tobb) kituntetett accounttal belephetnek.
--
Gabor HALASZ <***@freemail.hu>
PÁSZTOR György
2006-11-21 16:51:27 UTC
Permalink
Hi!
Post by Gabor HALASZ
Lehet ilyet? Azt akarom, hogy ha nem sikerul a usert authentikalni (nem
elerheto a tavoli authentikator), akkor megadnek valami tartalek
adatbazist, ahonnan egy (tobb) kituntetett accounttal belephetnek.
Bár, nem feltétlenül az exzakt válasz a kérdésedre...
De az nem megoldható, hogy saslauthd pam-ból autholjon? Utána pam-ban már
aztán rugalmasan konfigurálsz tetszés szerint auth stacket, és játszhatsz a
required, sufficient, stb. methodokkal.

Üdv:Gyur!
-- -------[ Free Software ISOs - http://www.fsn.hu/?f=download ]------- --
PÁSZTOR György e-mail: ***@fsn.hu
Free Software Network (FSN.HU) cell.: +3620 512 3335
Gabor HALASZ
2006-11-22 10:27:27 UTC
Permalink
Post by PÁSZTOR György
Hi!
Post by Gabor HALASZ
Lehet ilyet? Azt akarom, hogy ha nem sikerul a usert authentikalni (nem
elerheto a tavoli authentikator), akkor megadnek valami tartalek
adatbazist, ahonnan egy (tobb) kituntetett accounttal belephetnek.
Bár, nem feltétlenül az exzakt válasz a kérdésedre...
De az nem megoldható, hogy saslauthd pam-ból autholjon?
Nem. A saslauthd-t a ldap hivogatja, az ldap lokalisan fut, a saslauthd
tavoli kerberoshoz authentikal, igy ha nincs net, akkor a saslauthd (a
jelek szerint) passwd failuret ad vissza az ldap-nak igy a pam-ldap
kidobja, es nem failbackel a pam-unix-ra.
--
Gabor HALASZ <***@freemail.hu>
PÁSZTOR György
2006-11-22 11:18:35 UTC
Permalink
Hi!
Post by Gabor HALASZ
Post by PÁSZTOR György
Post by Gabor HALASZ
Lehet ilyet? Azt akarom, hogy ha nem sikerul a usert authentikalni (nem
elerheto a tavoli authentikator), akkor megadnek valami tartalek
adatbazist, ahonnan egy (tobb) kituntetett accounttal belephetnek.
Bár, nem feltétlenül az exzakt válasz a kérdésedre...
De az nem megoldható, hogy saslauthd pam-ból autholjon?
Nem. A saslauthd-t a ldap hivogatja, az ldap lokalisan fut, a saslauthd
tavoli kerberoshoz authentikal, igy ha nincs net, akkor a saslauthd (a
jelek szerint) passwd failuret ad vissza az ldap-nak igy a pam-ldap
kidobja, es nem failbackel a pam-unix-ra.
Mit dob ki a pam-ldap?
Az usert, mert a saslauthd elküldte?
De még mindig nem értem, a saslauthd miért ne mehetne pam-ból?

***@camino:~$ apt-cache search libpam |grep -i kerb
libpam-heimdal - PAM module for Heimdal Kerberos 5
libpam-krb5 - PAM module for MIT Kerberos
libpam-shishi - PAM module for Shishi Kerberos v5

A saslauthd pam konfigjába simán tehetsz kerberos authot sufficent-re, és ha
nem megy, akkor max fallbackel az utána következő required pam_unixra...
Ha jól értelek, ezt szeretnéd elérni.

Üdv:Gyur!
-- -------[ Free Software ISOs - http://www.fsn.hu/?f=download ]------- --
PÁSZTOR György e-mail: ***@fsn.hu
Free Software Network (FSN.HU) cell.: +3620 512 3335
Gabor HALASZ
2006-11-22 14:49:19 UTC
Permalink
Post by PÁSZTOR György
Post by Gabor HALASZ
Post by PÁSZTOR György
De az nem megoldható, hogy saslauthd pam-ból autholjon?
Nem. A saslauthd-t a ldap hivogatja, az ldap lokalisan fut, a saslauthd
tavoli kerberoshoz authentikal, igy ha nincs net, akkor a saslauthd (a
jelek szerint) passwd failuret ad vissza az ldap-nak igy a pam-ldap
kidobja, es nem failbackel a pam-unix-ra.
Mit dob ki a pam-ldap?
Az usert, mert a saslauthd elküldte?
Igen.
Post by PÁSZTOR György
De még mindig nem értem, a saslauthd miért ne mehetne pam-ból?
Mert ldap auth van es az ldap kerdezi a passwordoket a saslauthd-tol.
Post by PÁSZTOR György
libpam-heimdal - PAM module for Heimdal Kerberos 5
libpam-krb5 - PAM module for MIT Kerberos
libpam-shishi - PAM module for Shishi Kerberos v5
A saslauthd pam konfigjába simán tehetsz kerberos authot sufficent-re, és ha
nem megy, akkor max fallbackel az utána következő required pam_unixra...
Ha jól értelek, ezt szeretnéd elérni.
A auth-common pam-ban sufficient pam-ldap, required pam-unix vagy. Ha
strace-elem a login-t, akkor egyertelmuen latszik, hogy nem failbackel.
--
Gabor HALASZ <***@freemail.hu>
Gabor Gombas
2006-11-21 16:52:59 UTC
Permalink
Post by Gabor HALASZ
Lehet ilyet? Azt akarom, hogy ha nem sikerul a usert authentikalni (nem
elerheto a tavoli authentikator), akkor megadnek valami tartalek
adatbazist, ahonnan egy (tobb) kituntetett accounttal belephetnek.
Persze. saslauthd-nek megmondod, hogy hasznaljon PAM-ot, a megfelelo PAM
konfiguracioba pedig beszursz egy alkalmas "sufficient" sort. A
libpam-pwdfile kimondottan hasznos ilyen esetekre.

Gabor
--
---------------------------------------------------------
MTA SZTAKI Computer and Automation Research Institute
Hungarian Academy of Sciences
---------------------------------------------------------
Gabor HALASZ
2006-11-22 10:12:02 UTC
Permalink
Post by Gabor Gombas
Post by Gabor HALASZ
Lehet ilyet? Azt akarom, hogy ha nem sikerul a usert authentikalni (nem
elerheto a tavoli authentikator), akkor megadnek valami tartalek
adatbazist, ahonnan egy (tobb) kituntetett accounttal belephetnek.
Persze. saslauthd-nek megmondod, hogy hasznaljon PAM-ot, a megfelelo PAM
konfiguracioba pedig beszursz egy alkalmas "sufficient" sort. A
libpam-pwdfile kimondottan hasznos ilyen esetekre.
Ez nekem is eszembe jutott, de most a sasl-lel akartam. kosz
--
Gabor HALASZ <***@freemail.hu>
Loading...