Aporia PAM

Antonios Christofides anthony at itia.ntua.gr
Wed Sep 26 15:13:28 EEST 2007


password requisite	  pam_cracklib.so retry=3 minlen=7 difok=3
password requisite	  pam_unix.so use_authtok md5 try_first_pass shadow

Το pam_unix συνήθως ρωτάει το παλιό password, ρωτάει δυο φορές και το
καινούργιο, και το αλλάζει στο /etc/shadow. Πώς λοιπόν μπορεί το το
pam_cracklib να τα ελέγξει, αφού έχει τρέξει και ολοκληρώσει πριν από
το pam_unix; Απαντάω μόνος μου, σύμφωνα με τα όσα έχω καταλάβει με τα
πειράματά μου: Τα prompts δεν τα βγάνει η pam_unix, αλλά η
pam_cracklib, που κάνει τους απαραίτητους ελέγχους. Αφού τα κάνει όλα
σωστά, η pam_unix παραλαμβάνει έτοιμο το νέο password και δεν
χρειάζεται να δώσει prompt, παρά πηγαίνει και το αλλάζει.

Καλά ως εδώ. Πάμε στο επόμενο πρόβλημα:

password requisite	  pam_cracklib.so retry=3 minlen=7 difok=3
password requisite        pam_ldap.so

Εδώ δυστυχώς τα πράγματα δεν δουλεύουν όπως θα θέλαμε, γιατί η
pam_ldap δεν κοιτάζει, απ᾽ ό,τι φαίνεται, το τι έχει παραλάβει από το
προηγούμενο module, παρά πηγαίνει και ζητάει το νέο password ούτως ή
άλλως. Το αποτέλεσμα είναι τελικά να μου βγάνει δύο φορές τα prompts
για το νέο password (δηλαδή συνολικά τέσσερις, γιατί η pam_cracklib το
ζητάει δύο φορές και η pam_ldap το ξαναζητάει άλλες δύο).

Πώς λοιπόν μπορώ να χρησιμοποιήσω cracklib με LDAP, ή τι workaround
υπάρχει;





More information about the Linux-greek-users mailing list