kerberos V5.

Thu Jul 27 20:31:57 EEST 2000

On Thu, 27 Jul 2000, Vasilis Vasaitis wrote:

>   Μα στο account group, το οποίο είναι υπεύθυνο για να δίνει πληροφορίες για
> τον χρήστη, έχεις μόνο το pam_unix.so. Δεν ξέρω αν ο Κέρβερος μπορεί να
> δώσει τέτοιες πληροφορίες, π.χ. αν υπάρχει κάποιος χρήστης, οπότε και θα
> βάλεις και εκεί το pam_krb5.so (και μάλλον μόνο αυτό), ή αν πρέπει να κάνεις
> κάποια άλλη πατέντα. Συμβουλέψου την τεκμηρίωση που διαθέτεις.
> 

Ναι αυτό δε γίνεται, ή τουλάχιστον δε βρήκα κατι στα Kerberos admin guide,
Kerberos installation guide και Kerberos user guide. Δηλαδή ο kerberos δε
μπορεί να παρέχει group information για τους users. Αν κάνω λάθος
διορθώστε με.

> χάλασε κι ο κόσμος. Π.χ. δοκίμασε κάτι τέτοιο (αρκεί να είναι σωστό το ένα
> από τα δύο password):
> 
> auth	sufficient	/lib/security/pam_krb5.so
> auth	sufficient	/lib/security/pam_unix.so try_first_pass shadow ...

Αυτό το δοκίμασα, και το pam_unix.so αρνείται να πάρει το password το
οποίο δώθηκε στο pam_krb5.so απο τον χρήστη. Συγκεκριμένα:

Jul 27 18:20:33 saip login: pam_krb5: attempting to authenticate saipman
Jul 27 18:20:37 saip login: pam_krb5: authenticate error: Decrypt integrity check failed
Jul 27 18:20:37 saip login: pam_krb5: authentication fails for saipman
Jul 27 18:20:37 saip login: pam_krb5: TGT for saipman not verified (no required_tgs defined)
Jul 27 18:20:37 saip PAM_unix[19050]: auth could not identify password for [saipman]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Jul 27 18:20:37 saip login[19050]: FAILED LOGIN SESSION FROM (null) FOR
saipman, Authentication information cannot be recovered

> 
>   Όσο για τα tickets, αυτό μου φαίνεται πολύ περίεργο. Δεν ξέρω, δες την
> σχετική τεκμηρίωση.

Ναι είναι λογικό αφού με το τρόπο που είναι φτιαγμένο το original
/etc/pam.d/login απο το pam_krb5 πακέτο, AN το authentication γίνει με
pam_unix.so, επειδή έχει sufficient, δε κάνει authentication μέσω Kerberos
οπότε δεν παίρνει ο χρήστης tickets at login.

>   Α, μάλιστα... Δεν είχες χρόνο να διαβάσεις την σελιδούλα του PAM, αλλά για
> να στείλεις μήνυμα στην linux-greek-users υπήρχε χρόνος... Ε ρε ξύλο που το
> θες... :-)

Δεν έχεις άδικο, απλά είχα πονοκεφαλιάσει ( και χωρίς αυτό να αποτελέι
δικαιολογία ) έστειλα το mail μήπως κάποιος είχε ήδη experience στο θέμα.
Χθες διάβασα το pam_manual, και κατάφερα να κάνω αυτό που θέλω, όπως
ανέφερα και σε προηγούμενο mail.
Ευχαριστώ πάντως για τη καλή διάθεση και το χρόνο σου, και τα σχόλια
δεκτά. ;)

>   Όπως είπα, γιατί συμβαίνει αυτό που συμβαίνει δηλώνω άγνοια. Πάντως δεν
> μας είπες τι θέλεις να γίνεται αν είναι διαφορετικά τα password...

Όπως έφτιαξα το /etc/pam.d/login, αν ο user υπάρχει στο /etc/passwd, κάνει
μεν authentication με pam_unix, αλλά επισης ψάχνει να βρεί αν υπάρχει και
στον KDC οπότε αν ναι, τότε κάνει obtain τα tickets. Αν ο user υπάρχει
αλλα έχει διαφορετικά passwords στο /etc/passwd και στον KDC, τότε
αναλογως πιο password βάλει στο login prompt, το login επιτυγχάνεται είτε
με τον ένα έιτε με τον άλλο τρόπο. ( Φυσικά αν το authentication γίνει απο
το local passwd database, τότε ο user δε θα έχει granted ticket, μιας και
το kerberos authentication δε θα έχει πετύχει, που είναι όμως ότι ακριβώς
χρειάζεται για τον root.)

>   Βεβαίως και θα το κάνεις με PAM. Ό,τι χρειάζεσαι βρίσκεται στο
> /etc/pam.d/passwd και κυρίως στο group password.

Ναι το κοίταξα και αυτό και πάιζει :)

Και πάλι ευχαριστώ.

Konstandinos A. Saipas
saipman at eexi.gr, k.saipas at wmin.ac.uk
MSc Computer Networks & Communications @ University of Westminster

BOFH Excuse of the day: Big to little endian conversion error

--
linux-greek-users mailing list -- http://lists.hellug.gr