GoldenLine
Zaloguj się
Wojciech Małota

Wojciech Małota Programista

Temat: Linux i PAM

Mam problem z PAMem pod Debianem. Przekopałem internet ale nic mądrego nie znalazłem.

Skonfigurowałem Debiana tak aby część użytkowników mogła być trzymana w bazie danych a część lokalnie. Zainstalowałem pam-mysql i nss-mysql-bg.

NSS działa bez probemu. Z PAMem są problemy.

Mam następującą konfigurację:





account sufficient      pam_unix.so

account required pam_mysql.so host=127.0.0.1 user=user passwd=haslo db=management table=vwSystemUsers usercolumn=Login passwdcolumn=Password crypt=0



auth    sufficient      pam_unix.so nullok_secure

auth required        pam_mysql.so host=127.0.0.1 user=user passwd=haslo db=management table=vwSystemUsers usercolumn=Login passwdcolumn=Password crypt=0



password   sufficient   pam_unix.so nullok obscure min=4 max=8 md5

password required pam_mysql.so host=127.0.0.1 user=user passwd=haslo db=management table=vwSystemUsers usercolumn=Login passwdcolumn=Password crypt=0



session sufficient      pam_unix.so

session required pam_mysql.so host=127.0.0.1 user=user passwd=haslo db=management table=vwSystemUsers usercolumn=Login passwdcolumn=Password crypt=0


Przy takiej konfiguracji program su (i wszystko inne korzystające z PAMu) wywala się z błędem "Segmentation fault" przy autoryzacji.
Jeżeli wyrzucę z konfiguracji moduł pam_unix zostawiając sam pam_mysql to wszystko działa z tym, że oczywiście dostępne są tylko konta bazodanowe.

Próbowałem już różnych kombinacji ale zawsze to samo. Z jednym modułem działa, z dwoma nie. Kompletnie nie mam pomysłu co może być nie tak. Spotkał się ktoś z czymś takim? Może to bug w PAMie?

Pozdrawiam,
Wojtek
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Linux i PAM



auth    required    pam_env.so

auth    sufficient  pam_unix.so likeauth nullok shadow

auth    sufficient  pam_winbind.so use_first_pass

auth    required    pam_deny.so



account requisite  pam_unix.so

account sufficient pam_localuser.so

account required   pam_winbind.so



password    required pam_cracklib.so retry=3

password    sufficient pam_unix.so nullok use_authtok shadow md5

password    sufficient  pam_winbind.so use_first_pass

password    required pam_deny.so



session required    pam_limits.so

session required    pam_unix.so

session required    pam_mkhomedir.so skel=/etc/skel/ umask=0066

session optional pam_winbind.so

Tak wyglada mój pam, loguje sie przez hasła unixowe i sambowe przez winbind

a dla mysql wyglada tak:


account optional        pam_unix.so

account optional pam_mysql.so user=user passwd=pass host=127.0.0.1 db=auth table=user usercolumn=user_name passwdcolumn=password



auth    sufficient      pam_unix.so nullok_secure

auth sufficient pam_mysql.so user=user passwd=pass host=127.0.0.1 db=auth table=user usercolumn=user_name passwdcolumn=password



password sufficient pam_mysql.so user=user passwd=user host=127.0.0.1 db=auth table=user usercolumn=user_name passwdcolumn=password

password   sufficient   pam_unix.so nullok obscure min=4 max=8 md5



session required    pam_mkhomedir.so skel=/etc/skel/ umask=0066

chociaz co do zmiany hasel nie jestem pewien czy dzialala.

Pierwszy system to gentoo, to z mysql to debian
Link do wypowiedziLink
Wojciech Małota

Wojciech Małota Programista

Temat: Linux i PAM

No niestety.
Pokombinowałem z Twoim schematem ale ciągle to samo.
su pyta o hasło po czym wywala "Segmentation fault" ale tylko przy kontach bazodanowych.
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Linux i PAM

upgrade/downgrade ? zobacz jakie (i czy wogóle) zapytania idą do bazy.
wersja pam-mysql u mnie to 0.6.2-1
Link do wypowiedziLink
Wojciech Małota

Wojciech Małota Programista

Temat: Linux i PAM

Mariusz Gronczewski:
upgrade/downgrade ? zobacz jakie (i czy wogóle) zapytania idą do bazy.
wersja pam-mysql u mnie to 0.6.2-1

Zrobiłem wczoraj upgrade systemu. Już załączałem logi mysqla i zapytania idą dobre.
Tak jak napisałem na początku. Jak wywalę pam_unix zostawiając samo pam_mysql to jest dobrze.
Link do wypowiedziLink

konto usunięte

Temat: Linux i PAM

W pam-mysql w wersji 0.6.2 poprawili między innymi błąd krytyczny:

* Possible segmentation fault in the SQL logging facility, which can cause Denial-of-Service (DoS).
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Linux i PAM

Hmm próbowałeś zamienić kolejność mysql i unix ?
Link do wypowiedziLink
Wojciech Małota

Wojciech Małota Programista

Temat: Linux i PAM

Mariusz Gronczewski:
Hmm próbowałeś zamienić kolejność mysql i unix ?

Tak. Wtedy działają konta z bazy natomiast kaszanią się konta lokalne :-)
Tak jakby pierwszy działa.
Link do wypowiedziLink
Dawid Węgliński

Dawid Węgliński System Administrator

Temat: Linux i PAM

Wojciech Małota:
Mariusz Gronczewski:
Hmm próbowałeś zamienić kolejność mysql i unix ?

Tak. Wtedy działają konta z bazy natomiast kaszanią się konta lokalne :-)
Tak jakby pierwszy działa.

Spróbuj:

auth sufficient pam_mysql.so
auth required pam_unix.so

To powinno wymusić kolejność mysql jako pierwszego, które będzie wystarczające do uwierzytelnienia, i pam_unix jako wymaganego.
Link do wypowiedziLink
Wojciech Małota

Wojciech Małota Programista

Temat: Linux i PAM

Dawid Węgliński:
Wojciech Małota:
Mariusz Gronczewski:
Hmm próbowałeś zamienić kolejność mysql i unix ?

Tak. Wtedy działają konta z bazy natomiast kaszanią się konta lokalne :-)
Tak jakby pierwszy działa.

Spróbuj:

auth sufficient pam_mysql.so
auth required pam_unix.so

To powinno wymusić kolejność mysql jako pierwszego, które będzie wystarczające do uwierzytelnienia, i pam_unix jako wymaganego.

Już próbowałem.
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Linux i PAM

oba jako sufficent ?
Link do wypowiedziLink
Wojciech Małota

Wojciech Małota Programista

Temat: Linux i PAM

Mariusz Gronczewski:
oba jako sufficent ?

Też. W zasadzie próbowałem wszystkich zdroworozsądkowych kombinacji.
Myślałem, że może ktoś już spotkał się z czymś takim i zna rozwiązanie.
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Linux i PAM

może rzeczywiście jakiś bug... używasz stable czy testing ?
Link do wypowiedziLink
Wojciech Małota

Wojciech Małota Programista

Temat: Linux i PAM

Mariusz Gronczewski:
może rzeczywiście jakiś bug... używasz stable czy testing ?

stable
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Linux i PAM

Heh, to mi sie juz skończyły pomysły;/
Link do wypowiedziLink
Wojciech Małota

Wojciech Małota Programista

Temat: Linux i PAM

Mariusz Gronczewski:
Heh, to mi sie juz skończyły pomysły;/

Jak zrobię dla obydwu sufficient i pam_mysql dam pierwsze to niby wszystko działa tylko nie mogę zrobić su na roota bo nie przyjmuje hasła.
Link do wypowiedziLink
Wojciech Małota

Wojciech Małota Programista

Temat: Linux i PAM

Ok. Zrobiłem tak, że jako pierwszy jest suffcient pam_mysql, a jako drugi jest required pam_unix. Troche ejszcze namieszało to, że musiałem użytkownikowi bazodanowemu, który korzysta z nss-mysql dać prawa do czytania kolumny z hasłem, co według dokumentacji nie powinno być potrzebne i z resztą jest niezalecane.
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: Linux i PAM

czyli w NSS users.db_user wymagał odczytu do kolumny z hasłem mimo że tylko shadow.db_user powinien miec ten dostęp ? Rzeczywiście dziwne
Link do wypowiedziLink
Wojciech Małota

Wojciech Małota Programista

Temat: Linux i PAM

Mariusz Gronczewski:
czyli w NSS users.db_user wymagał odczytu do kolumny z hasłem mimo że tylko shadow.db_user powinien miec ten dostęp ? Rzeczywiście dziwne

No dziwne
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

PROGRAMISTA C/LINUX




Wyślij zaproszenie do
Anuluj