Главная » Форум » Gentoo Linux » Системное администрирование

ldap и блокировка пользователей [SOLVED]

prof-alex 7 октября, 2008 - 19:07

Есть давно работающее решение с OpenLDAP, Samba, pam_ldap и nss_ldap. Когда место винды на рабочих станциях заняла gentoo данная система осталась не тронутой - всё и так работает. Но тут "зачесалось" у руководства, нужна блокировка пользователей, в винде всё просто: щёлкнул на чекбоксе, в sambaAcctFlags появляется флажок D - и телемаркет. Ушёл человек в отпуск, чтобы не было соблазна из под него шастать на odnokassniki.ru, лучше отключить, вернётся - проделать обратный фокус.

А вот как быть с pam и nss? Вроде всё просто (/etc/ldap.conf):

Цитата:
# Filter to AND with uid=%s
pam_filter objectclass=posixaccount

Задал я фильтр вот так: pam_filter &(objectClass=PosixAccount)(!(sambaAcctFlags=[DU ])

В gdm всё пучком, кого надо пускает, кого надо не пускает, но всплыло там где не ждали, xscreensaver не пускает пользователей назад:

Цитата:
unix_chkpwd[9387]: password check failed for user (alex)
xscreensaver[7148]: pam_unix(xscreensaver:auth): authentication failure; logname= uid=1000 euid=1000 tty=:0.0 ruser= rhost= user=alex
xscreensaver[7148]: FAILED LOGIN 2 ON DISPLAY ":0.0", FOR "alex"

И всё упирается в этот pam_filter, достаточно только его исправить и сразу пароль правильным оказывается.

[ebuild R ] x11-misc/xscreensaver-5.05 USE="jpeg opengl pam xinerama -new-login -suid*"

И с suid и с -suid результат одинаковый.

‹ ejabberd LDAP и mod_shared_roster [почти SOLVED] Как передает данные xinetd? ›
»

prof-alex пишет: И

Автор Anarchist, дата создания 8 октября, 2008 - 09:14.
prof-alex написал(а):
И всё упирается в этот pam_filter, достаточно только его исправить и сразу пароль правильным оказывается.

Лично мне интересно: что по этому поводу пишется в лог LDAP'а.

ЗЫ: Если нет винды, то на фига Самба???
--
Live free or die

»

Вот жежь

Автор prof-alex, дата создания 8 октября, 2008 - 10:57.
Anarchist написал(а):
Лично мне интересно: что по этому поводу пишется в лог LDAP'а.

Самому интересно ssh и gdm работать с этими настройками могут, а xscreensaver нифига...

Anarchist написал(а):
ЗЫ: Если нет винды, то на фига Самба???

Нет винды на раб.станциях != нет винды вообще, есть терминальник, ему самба нужна.

»

.

Автор Anarchist, дата создания 8 октября, 2008 - 11:20.
prof-alex написал(а):
Самому интересно ssh и gdm работать с этими настройками могут, а xscreensaver нифига...

Ты настройкой логирования LDAPэа, как я понял, не заморачивался?

prof-alex написал(а):
Нет винды на раб.станциях != нет винды вообще, есть терминальник, ему самба нужна.

Его тоже мочить! :)
--
Live free or die

»

Смотреть надо было в

Автор prof-alex, дата создания 20 марта, 2009 - 13:44.

Смотреть надо было в /etc/openldap/slapd.conf

Т.к. там было такое:

Цитата:
# some attributes need to be writable for samba
access to attrs=cn,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaLogonTime,sambaLogoffTime,sa
mbaKickoffTime,sambaPwdCanChange,sambaPwdMustChange,sambaAcctFlags,displayName,sambaHomePath,sambaHome
Drive,sambaLogonScript,sambaProfilePath,description,sambaUserWorkstations,sambaPrimaryGroupSID,sambaDo
mainName,sambaMungedDial,sambaBadPasswordCount,sambaBadPasswordTime,sambaPasswordHistory,sambaLogonHou
rs,sambaSID,sambaSIDList,sambaTrustFlags,sambaGroupType,sambaNextRid,sambaNextGroupRid,sambaNextUserRi
d,sambaAlgorithmicRidBase,sambaShareName,sambaOptionName,sambaBoolOption,sambaIntegerOption,sambaStrin
gOption,sambaStringListoption,sambaPrivilegeList
by dn="cn=samba,ou=DSA,dc=cbuo,dc=kurganinsk,dc=gov,dc=ru" write
by dn="cn=smbldap-tools,ou=DSA,dc=cbuo,dc=kurganinsk,dc=gov,dc=ru" write
by self read
by * none

Вроде self read давал надежду на правильную работу, но, видимо, xscreensaver цепляется под анонимом...

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".