Aporia PAM
Christos Ricudis
ricudis at komodino.itc.auth.gr
Wed Sep 26 15:31:07 EEST 2007
Antonios Christofides wrote:
> password requisite pam_cracklib.so retry=3 minlen=7 difok=3
> password requisite pam_unix.so use_authtok md5 try_first_pass shadow
>
> Το pam_unix συνήθως ρωτάει το παλιό password, ρωτάει δυο φορές και το
> καινούργιο, και το αλλάζει στο /etc/shadow. Πώς λοιπόν μπορεί το το
> pam_cracklib να τα ελέγξει, αφού έχει τρέξει και ολοκληρώσει πριν από
> το pam_unix; Απαντάω μόνος μου, σύμφωνα με τα όσα έχω καταλάβει με τα
> πειράματά μου: Τα prompts δεν τα βγάνει η pam_unix, αλλά η
> pam_cracklib, που κάνει τους απαραίτητους ελέγχους. Αφού τα κάνει όλα
> σωστά, η pam_unix παραλαμβάνει έτοιμο το νέο password και δεν
> χρειάζεται να δώσει prompt, παρά πηγαίνει και το αλλάζει.
>
> Καλά ως εδώ. Πάμε στο επόμενο πρόβλημα:
>
> password requisite pam_cracklib.so retry=3 minlen=7 difok=3
> password requisite pam_ldap.so
>
> Εδώ δυστυχώς τα πράγματα δεν δουλεύουν όπως θα θέλαμε, γιατί η
> pam_ldap δεν κοιτάζει, απ᾽ ό,τι φαίνεται, το τι έχει παραλάβει από το
> προηγούμενο module, παρά πηγαίνει και ζητάει το νέο password ούτως ή
> άλλως. Το αποτέλεσμα είναι τελικά να μου βγάνει δύο φορές τα prompts
> για το νέο password (δηλαδή συνολικά τέσσερις, γιατί η pam_cracklib το
> ζητάει δύο φορές και η pam_ldap το ξαναζητάει άλλες δύο).
>
> Πώς λοιπόν μπορώ να χρησιμοποιήσω cracklib με LDAP, ή τι workaround
> υπάρχει;
Olh h magkia einai sto try_first_pass, pou kanei to module na MHN rwthsei
ton xrhsth gia password, alla na to parei paketo apo to prohgoumeno module
sto stack. Opote :
password requisite pam_cracklib.so retry=3 minlen=7 difok=3
password requisite pam_ldap.so try_first_pass
Na shmeiwsw edw oti xrhsimopoieis thn pam_cracklib se la8os shmeio. Elegxos
gia to strength tou password de xreiazetai na ginetai ka8e fora poy o
xrhsths kanei login, alla mono ka8e fora poy ALLAZEI to palio tou password
me kapoio kainourio.
Wstoso h dikh sou lysh exei poly kalytero kafrila factor. Enw h klassikh
taktikh einai na mhn afhneis ton user na allaksei password se kati weak, esy
ton afhneis na to allaksei se kati weak kai meta apla ton kleidwneis ap'eksw :>
--
Christos Ricudis
More information about the Linux-greek-users
mailing list