Re: Errore pam autenticazione ssh via winbind
RaSca scrisse in data 04/28/06 09:41: Paolo Sala ha scritto: [...] ...veramente avevi scritto che volevi soltanto l'ssh... comunque le polemiche a me non interessano. A chi lo dici, probabilmente ci siamo fraintesi. [...] In common-session ho inserito session required pam_mkhomedir.so skel=/etc/skel umask=0022 In questo modo quando l'utente fa il logon viene creata la sua home. Poi in common-account, come ti hannogià suggerito, conviene inserire account sufficient pam_winbind.so Funziona ora? Sì :-D Grazie mille davvero ! Solo una domanda... In /etc/pam.d/common-account ho verificato che l'autenticazione funziona solamente se lascio l'unica riga : account sufficient pam_winbind.so La domanda è : è corretto ? La riga che c'è di default, ossia : accountrequiredpam_unix.so verifica che l'account non sia scaduto in /etc/shadow. Ovviamente se la lascio, gli account dell'AD server non si potranno mai loggare... Ma se volessi limitare il controllo unicamente per gli utenti unix cosa dovrei fare ? Se non mi ricordo male, pam_winnind.so controlla anche gli utenti unix. Come potrebbe però esistere un modulo pam che sia completo per gli utenti unix e non lo sia per gli utenti AD. Tieni conto che il modulo non controlla soltanto se l'account è scaduto... ma non so proprio cosa dirti. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Errore pam autenticazione ssh via winbind
Paolo Sala ha scritto: [...] ...veramente avevi scritto che volevi soltanto l'ssh... comunque le polemiche a me non interessano. A chi lo dici, probabilmente ci siamo fraintesi. [...] In common-session ho inserito session required pam_mkhomedir.so skel=/etc/skel umask=0022 In questo modo quando l'utente fa il logon viene creata la sua home. Poi in common-account, come ti hannogià suggerito, conviene inserire account sufficient pam_winbind.so Funziona ora? Sì :-D Grazie mille davvero ! Solo una domanda... In /etc/pam.d/common-account ho verificato che l'autenticazione funziona solamente se lascio l'unica riga : account sufficient pam_winbind.so La domanda è : è corretto ? La riga che c'è di default, ossia : accountrequiredpam_unix.so verifica che l'account non sia scaduto in /etc/shadow. Ovviamente se la lascio, gli account dell'AD server non si potranno mai loggare... Ma se volessi limitare il controllo unicamente per gli utenti unix cosa dovrei fare ? Spero di essermi spiegato. Ciao ! -- RaSca "Il regno dei cieli e' simile ad un mercante che va in cerca di perle preziose. Trovatane una di grande valore va, vende tutti i suoi averi e la compra" - Gesu' Cristo http://web.tiscali.it/rascasoft
Re: Errore pam autenticazione ssh via winbind
RaSca scrisse in data 04/27/06 14:38: Paolo Sala ha scritto: RaSca scrisse in data 04/26/06 17:38: [...] Aggiungici poi che ad esempio vorrei ci si potesse loggare anche da console e che quindi la regola deve essere "generale", deve cioè riguardare tutti i tipi di accesso. Certo ma dai la possibilità che si possano autenticare anche non in ssh ma da tutti i servizi pam compatibili. Se vuoi come dici che possano accedere solo attraverso ssh modificherei solo /etc/pam.d/ssh... Infatti. Ma come ho scritto, voglio che tutti i servizi passino da qui. ...veramente avevi scritto che volevi soltanto l'ssh... comunque le polemiche a me non interessano. Che io sappia devi anche modificare common-session e common-account... provare per credere. Ma con quale tipo entry ? In common-session ho inserito session required pam_mkhomedir.so skel=/etc/skel umask=0022 In questo modo quando l'utente fa il logon viene creata la sua home. Poi in common-account, come ti hannogià suggerito, conviene inserire account sufficient pam_winbind.so Funziona ora? Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Errore pam autenticazione ssh via winbind
> authsufficient pam_unix.so nullok_secure > authrequiredpam_winbind.so try_first_pass Provato con account sufficient pam_winbind.so ??? P. -- Paolo Larcheri Linux User #383461 http://counter.li.org
Re: Errore pam autenticazione ssh via winbind
Paolo Sala ha scritto: RaSca scrisse in data 04/26/06 17:38: [...] Aggiungici poi che ad esempio vorrei ci si potesse loggare anche da console e che quindi la regola deve essere "generale", deve cioè riguardare tutti i tipi di accesso. Certo ma dai la possibilità che si possano autenticare anche non in ssh ma da tutti i servizi pam compatibili. Se vuoi come dici che possano accedere solo attraverso ssh modificherei solo /etc/pam.d/ssh... Infatti. Ma come ho scritto, voglio che tutti i servizi passino da qui. [...] Che io sappia devi anche modificare common-session e common-account... provare per credere. Ma con quale tipo entry ? Ciao ! -- RaSca "Il regno dei cieli e' simile ad un mercante che va in cerca di perle preziose. Trovatane una di grande valore va, vende tutti i suoi averi e la compra" - Gesu' Cristo http://web.tiscali.it/rascasoft
Re: Errore pam autenticazione ssh via winbind
RaSca scrisse in data 04/26/06 17:38: Paolo Sala ha scritto: [...] Se vuoi che utilizzino soltanto ssh perché non modificare soltanto /etc/pam.d/ssh? Perchè /etc/pam.d/ssh include al suo interno i vari common-auth e così via...E quindi tanto vale modificare questo file che viene incluso...Diciamo per una questione di coerenza. Aggiungici poi che ad esempio vorrei ci si potesse loggare anche da console e che quindi la regola deve essere "generale", deve cioè riguardare tutti i tipi di accesso. Certo ma dai la possibilità che si possano autenticare anche non in ssh ma da tutti i servizi pam compatibili. Se vuoi come dici che possano accedere solo attraverso ssh modificherei solo /etc/pam.d/ssh... [...] Non è che me ne intenda un gran che ma common-session e common-account perché non li hai configurati? Perchè ad esempio ho già avuto esperienze con l'autenticazione ldap via ssh ed è bastato aggiungere queste righe in common-auth : authsufficientpam_unix.sonullok_secure authrequired pam_ldap.sotry_first_pass Per fare in modo che si potesse accedere al sistema con un utenza presente nell'alberatura ldap. In questo caso ho avuto successo. E si direbbe anche stavolta non fosse che, dopo avermi autenticato, mi "sputa" fuori l'errore sulle "authentication info" ... Che io sappia devi anche modificare common-session e common-account... provare per credere. Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Errore pam autenticazione ssh via winbind
Paolo Sala ha scritto: [...] Se vuoi che utilizzino soltanto ssh perché non modificare soltanto /etc/pam.d/ssh? Perchè /etc/pam.d/ssh include al suo interno i vari common-auth e così via...E quindi tanto vale modificare questo file che viene incluso...Diciamo per una questione di coerenza. Aggiungici poi che ad esempio vorrei ci si potesse loggare anche da console e che quindi la regola deve essere "generale", deve cioè riguardare tutti i tipi di accesso. [...] Non è che me ne intenda un gran che ma common-session e common-account perché non li hai configurati? Perchè ad esempio ho già avuto esperienze con l'autenticazione ldap via ssh ed è bastato aggiungere queste righe in common-auth : authsufficientpam_unix.sonullok_secure authrequired pam_ldap.sotry_first_pass Per fare in modo che si potesse accedere al sistema con un utenza presente nell'alberatura ldap. In questo caso ho avuto successo. E si direbbe anche stavolta non fosse che, dopo avermi autenticato, mi "sputa" fuori l'errore sulle "authentication info" ... Ciao ! -- RaSca "Il regno dei cieli e' simile ad un mercante che va in cerca di perle preziose. Trovatane una di grande valore va, vende tutti i suoi averi e la compra" - Gesu' Cristo http://web.tiscali.it/rascasoft
Re: Errore pam autenticazione ssh via winbind
RaSca scrisse in data 04/26/06 15:08:
Ciao a tutti,
sono riuscito ad interfacciare SAMBA con un PDC e facendo getent
passwd vedo le utenze del server, riesco a condividere directory per
gli utenti del server che si autenticano dai client windows (W.C. -
Windows Client/Water Closed), l'ultimo step è quello di permettere
agli utenti AD di loggarsi via ssh.
Per fare questo ho modificato il file /etc/pam.d/common-auth così :
Se vuoi che utilizzino soltanto ssh perché non modificare soltanto
/etc/pam.d/ssh?
authsufficientpam_unix.sonullok_secure
authrequiredpam_winbind.sotry_first_pass
E l'autenticazione passa davvero da winbind che autentica ("granted
access" è un buon messaggio), problema è ssh :
Apr 26 10:13:25 localhost pam_winbind[5466]: user 'DOMINIO+user'
granted access
Apr 26 10:13:25 localhost sshd[5466]: error: PAM: Authentication
service cannot retrieve authentication info. for DOMINIO+user from
Cosa vuol dire "Authentication service cannot retrieve authentication
info." ? Qualcuno ha idee su come far funzionare il tutto, partendo
dal presupposto che lato samba/winbind tutto va ?
Non è che me ne intenda un gran che ma common-session e common-account
perché non li hai configurati?
Piviul
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
[EMAIL PROTECTED] con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a [EMAIL PROTECTED]
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
