RE: Authentification LDAP et pb avec su
Rah bien vu, je l'avais oublié celui-là, j'ai eu le même genre de soucis avec ma conf sous Gentoo, mais je me demande si le problème ne se posait pas uniquement avec sudo... Je retrouve bientôt le net, et je vais devoir refaire pas mal de confs, les disques systèmes de mes deux machines sous HS... Si j'y pense je reviendrai en parler (j'aime bien LDAP, on en parle jamais assez :p) ++ Mathias -Original Message- From: Emmanuel Lesouef [mailto:[EMAIL PROTECTED] Sent: mardi 15 janvier 2008 14:31 To: debian-user-french@lists.debian.org Subject: Re: Authentification LDAP et pb avec su Le Tue, 15 Jan 2008 14:10:32 +0100, Emmanuel Lesouef <[EMAIL PROTECTED]> a écrit : > Le Tue, 15 Jan 2008 10:43:05 +0100, > "Jean-Francois Zech" <[EMAIL PROTECTED]> a écrit : > > > > > Un truc peut-être con, mais pourquoi pas: > > > > -> Tu peux te logguer avec une autre user qui a comme > > shell /bin/bash ? > > Ca oui, pas de soucis :) > > > > > -> Comme apparement ton compte root n'existe qu'en local, crée le > > dans ta db LDAP et essaye de te logguer en root. > > Ca c'est une excellente idée mais... non, pas mieux. > > > > > Si tu as trouvé entre temps, dis le nous, ca m'intéresse! > > Pas encore mais j'ai pas eu le temps d'y remettre le nez depuis > hier... > > > > > Bien à toi, > > > > > > Merci encore, j'y retourne > Bon et bien c'etait tout bête. C'est une question de priorité je pense entre les lignes de common-auth... En enlevant le pam_deny.so ca fonctionne. En fait, le mettre optional resoud aussi le problème si on veut garder la fonctionnalité de pam_deny. Merci à tous pour votre aide ! -- Emmanuel Lesouef This mail has originated outside your organization, either from an external partner or the Global Internet. Keep this in mind if you answer this message. This e-mail is intended only for the above addressee. It may contain privileged information. If you are not the addressee you must not copy, distribute, disclose or use any of the information in it. If you have received it in error please delete it and immediately notify the sender. Security Notice: all e-mail, sent to or from this address, may be accessed by someone other than the recipient, for system management and security reasons. This access is controlled under Regulation of security reasons. This access is controlled under Regulation of Investigatory Powers Act 2000, Lawful Business Practises.
Re: Authentification LDAP et pb avec su
Le Tue, 15 Jan 2008 14:10:32 +0100, Emmanuel Lesouef <[EMAIL PROTECTED]> a écrit : > Le Tue, 15 Jan 2008 10:43:05 +0100, > "Jean-Francois Zech" <[EMAIL PROTECTED]> a écrit : > > > > > Un truc peut-être con, mais pourquoi pas: > > > > -> Tu peux te logguer avec une autre user qui a comme > > shell /bin/bash ? > > Ca oui, pas de soucis :) > > > > > -> Comme apparement ton compte root n'existe qu'en local, crée le > > dans ta db LDAP et essaye de te logguer en root. > > Ca c'est une excellente idée mais... non, pas mieux. > > > > > Si tu as trouvé entre temps, dis le nous, ca m'intéresse! > > Pas encore mais j'ai pas eu le temps d'y remettre le nez depuis > hier... > > > > > Bien à toi, > > > > > > Merci encore, j'y retourne > Bon et bien c'etait tout bête. C'est une question de priorité je pense entre les lignes de common-auth... En enlevant le pam_deny.so ca fonctionne. En fait, le mettre optional resoud aussi le problème si on veut garder la fonctionnalité de pam_deny. Merci à tous pour votre aide ! -- Emmanuel Lesouef
Re: Authentification LDAP et pb avec su
2008/1/15 Emmanuel Lesouef <[EMAIL PROTECTED]>: > Le Tue, 15 Jan 2008 10:43:05 +0100, > "Jean-Francois Zech" <[EMAIL PROTECTED]> a écrit : > > > > > Un truc peut-être con, mais pourquoi pas: > > > > -> Tu peux te logguer avec une autre user qui a comme > > shell /bin/bash ? > > Ca oui, pas de soucis :) > > > > > -> Comme apparement ton compte root n'existe qu'en local, crée le dans > > ta db LDAP et essaye de te logguer en root. > > Ca c'est une excellente idée mais... non, pas mieux. > Et ce compte root dans ton LDAP, a-t'il le uidNumber 0 et gidNumber 0 ? > > > > Si tu as trouvé entre temps, dis le nous, ca m'intéresse! > > Pas encore mais j'ai pas eu le temps d'y remettre le nez depuis hier... > > > > > Bien à toi, > > > > > > Merci encore, j'y retourne > > -- > Emmanuel Lesouef > >
Re: Authentification LDAP et pb avec su
Le Tue, 15 Jan 2008 10:43:05 +0100, "Jean-Francois Zech" <[EMAIL PROTECTED]> a écrit : > > Un truc peut-être con, mais pourquoi pas: > > -> Tu peux te logguer avec une autre user qui a comme > shell /bin/bash ? Ca oui, pas de soucis :) > > -> Comme apparement ton compte root n'existe qu'en local, crée le dans > ta db LDAP et essaye de te logguer en root. Ca c'est une excellente idée mais... non, pas mieux. > > Si tu as trouvé entre temps, dis le nous, ca m'intéresse! Pas encore mais j'ai pas eu le temps d'y remettre le nez depuis hier... > > Bien à toi, > > Merci encore, j'y retourne -- Emmanuel Lesouef
Re: Authentification LDAP et pb avec su
Bonjour, Moi j'ai ça dans common-auth : authsufficient pam_ldap.so authrequiredpam_unix.so use_first_pass nullok_secure Guy Emmanuel Lesouef a écrit : Bonjour, Voilà, j'ai une authentification LDAP centralisé de plusieurs machines qui fonctionne vraiment bien. Pas de soucis. Or, depuis la mise en place de cette authentification LDAP, je ne peux plus me connecter en root, que ce soit en direct ou en su. Disons que ce n'est pas vraiment grave car sudo me le permet avec un 'sudo -s' mais j'aimerai comprendre... Et en plus c'est pas propre. Voilà ce que j'ai dans les logs (auth.log) : Jan 14 11:18:24 auth su[8543]: pam_authenticate: Authentication failure Jan 14 11:18:24 auth su[8543]: FAILED su for root by elesouef Jan 14 11:18:24 auth su[8543]: - pts/3 elesouef:root Et voilà le contenu de mon /etc/pam.d/common-auth : authrequired pam_unix.so authrequisitepam_succeed_if.so uid >= 1000 quiet authsufficient pam_ldap.so use_first_pass authrequiredpam_deny.so Est-ce que quelqu'un a une idée ? Merci beaucoup.
Re: Authentification LDAP et pb avec su
2008/1/14 Emmanuel Lesouef <[EMAIL PROTECTED]>: > Le Mon, 14 Jan 2008 15:08:43 +0100, > "Jean-Francois Zech" <[EMAIL PROTECTED]> a écrit : > > > Bonjour, > > BOnsoir, > > > > > Il est possible que l'authentification ne se fasse QUE sur base des > > comptes LDAP. (Dangereux, car si la db crashe, tu n'auras plus accès à > > ta machine) > > Non, non, mais ce n'est pas le cas. > > > > > -> que te donne la commande "getent passwd" ? Vois-tu le compte root ? > > (Si tu le vois deux fois; une entrée lue dans les comptes locaux et > > une entrée de la db LDAP) > > Je vois bien le compte root. Pas de comptes en doubles. > > > Un truc peut-être con, mais pourquoi pas: -> Tu peux te logguer avec une autre user qui a comme shell /bin/bash ? -> Comme apparement ton compte root n'existe qu'en local, crée le dans ta db LDAP et essaye de te logguer en root. Si tu as trouvé entre temps, dis le nous, ca m'intéresse! Bien à toi, > > -> Qu'y a t'il dans ton fichier /etc/nsswitch.conf ? > > Normalement, tu devrais entre autre avoir ceci ou similaire: > > passwd: compat ldap > > group: compat ldap > > shadow: compat ldap > > C'est trés exactement le cas :) > > > > > > > Bien à toi, > > Merci de ton aide. > > > > > PS: > > Autre possibilité; l'entrée "loginShell" est à /dev/null pour le > > compte root du LDAP. (dans le cas où l'authentification passe > > uniquement par le ldap. Et ce n'est pas une bonne idée) > > Du coup, le root est toujours local, pas de soucis de ce coté là... > > -- > Emmanuel Lesouef > DSI | CRBN > t: 0231069671 > e: [EMAIL PROTECTED] >
Re: Authentification LDAP et pb avec su
Le Mon, 14 Jan 2008 15:08:43 +0100, "Jean-Francois Zech" <[EMAIL PROTECTED]> a écrit : > Bonjour, BOnsoir, > > Il est possible que l'authentification ne se fasse QUE sur base des > comptes LDAP. (Dangereux, car si la db crashe, tu n'auras plus accès à > ta machine) Non, non, mais ce n'est pas le cas. > > -> que te donne la commande "getent passwd" ? Vois-tu le compte root ? > (Si tu le vois deux fois; une entrée lue dans les comptes locaux et > une entrée de la db LDAP) Je vois bien le compte root. Pas de comptes en doubles. > > -> Qu'y a t'il dans ton fichier /etc/nsswitch.conf ? > Normalement, tu devrais entre autre avoir ceci ou similaire: > passwd: compat ldap > group: compat ldap > shadow: compat ldap C'est trés exactement le cas :) > > > Bien à toi, Merci de ton aide. > > PS: > Autre possibilité; l'entrée "loginShell" est à /dev/null pour le > compte root du LDAP. (dans le cas où l'authentification passe > uniquement par le ldap. Et ce n'est pas une bonne idée) Du coup, le root est toujours local, pas de soucis de ce coté là... -- Emmanuel Lesouef DSI | CRBN t: 0231069671 e: [EMAIL PROTECTED]
Re: Authentification LDAP et pb avec su
Le Mon, 14 Jan 2008 11:54:34 +0100, "DUFRESNE, Mathias \(STERIA\)" <[EMAIL PROTECTED]> a écrit : > Salut, > > J'ai jamais eu ce problème, mais j'ai jamais utilisé cette option > relative aux UID. Je rajoute juste une ligne par section (passwd, > account, session...) avec un truc qui ressemble à : account > sufficient pam_ldap.so use_first_pass La ligne avec pam_succeed_if.so est optionnelle en fait. J'obtiens les même résultats en la commentant. Ca doit venir d'ailleurs... > > Cordialement, Merci de ton aide. > > mathias > -- Emmanuel Lesouef
Re: Authentification LDAP et pb avec su
Bonjour, Il est possible que l'authentification ne se fasse QUE sur base des comptes LDAP. (Dangereux, car si la db crashe, tu n'auras plus accès à ta machine) -> que te donne la commande "getent passwd" ? Vois-tu le compte root ? (Si tu le vois deux fois; une entrée lue dans les comptes locaux et une entrée de la db LDAP) -> Qu'y a t'il dans ton fichier /etc/nsswitch.conf ? Normalement, tu devrais entre autre avoir ceci ou similaire: passwd: compat ldap group: compat ldap shadow: compat ldap Bien à toi, PS: Autre possibilité; l'entrée "loginShell" est à /dev/null pour le compte root du LDAP. (dans le cas où l'authentification passe uniquement par le ldap. Et ce n'est pas une bonne idée) 2008/1/14 DUFRESNE, Mathias (STERIA) <[EMAIL PROTECTED]>: > Salut, > > J'ai jamais eu ce problème, mais j'ai jamais utilisé cette option relative > aux UID. > Je rajoute juste une ligne par section (passwd, account, session...) avec un > truc qui ressemble à : > account sufficient pam_ldap.so use_first_pass > > Cordialement, > > mathias > > -Original Message- > From: Jean-Yves F. Barbier [mailto:[EMAIL PROTECTED] > Sent: lundi 14 janvier 2008 11:48 > To: Emmanuel Lesouef > Cc: DUF > Subject: Re: Authentification LDAP et pb avec su > > > Emmanuel Lesouef a écrit : > > Bonjour, > > > > Voilà, j'ai une authentification LDAP centralisé de plusieurs machines > > qui fonctionne vraiment bien. Pas de soucis. > > > > Or, depuis la mise en place de cette authentification LDAP, je ne peux > > plus me connecter en root, que ce soit en direct ou en su. > > ... > > > Et voilà le contenu de mon /etc/pam.d/common-auth : > > > > authrequired pam_unix.so > > authrequisitepam_succeed_if.so uid >= 1000 quiet > > à vue de nez, ça serait ici que ça pêche: pam veut UID>=1000, alors > que UID root = 0 > > mais avant de tripoter les confs de pam, je serais toi je me documenterais > à fond, parce qu'il n'y a rien de plus facile pour rendre une machine > inutilisable que de toucher à la conf de pam > -- > Most Texans think Hanukkah is some sort of duck call. > -- Richard Lewis > > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.net/?DebianFrench > Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et > "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > > This mail has originated outside your organization, either from an external > partner or the Global Internet. > Keep this in mind if you answer this message. > > > > This e-mail is intended only for the above addressee. It may contain > privileged information. > If you are not the addressee you must not copy, distribute, disclose or use > any of the information in it. > If you have received it in error please delete it and immediately notify the > sender. > Security Notice: all e-mail, sent to or from this address, may be accessed by > someone other than the recipient, for system management and security reasons. > This access is controlled under Regulation of security reasons. > This access is controlled under Regulation of Investigatory Powers Act 2000, > Lawful Business Practises. > > >
RE: Authentification LDAP et pb avec su
Salut, J'ai jamais eu ce problème, mais j'ai jamais utilisé cette option relative aux UID. Je rajoute juste une ligne par section (passwd, account, session...) avec un truc qui ressemble à : account sufficient pam_ldap.so use_first_pass Cordialement, mathias -Original Message- From: Jean-Yves F. Barbier [mailto:[EMAIL PROTECTED] Sent: lundi 14 janvier 2008 11:48 To: Emmanuel Lesouef Cc: DUF Subject: Re: Authentification LDAP et pb avec su Emmanuel Lesouef a écrit : > Bonjour, > > Voilà, j'ai une authentification LDAP centralisé de plusieurs machines > qui fonctionne vraiment bien. Pas de soucis. > > Or, depuis la mise en place de cette authentification LDAP, je ne peux > plus me connecter en root, que ce soit en direct ou en su. ... > Et voilà le contenu de mon /etc/pam.d/common-auth : > > authrequired pam_unix.so > authrequisitepam_succeed_if.so uid >= 1000 quiet à vue de nez, ça serait ici que ça pêche: pam veut UID>=1000, alors que UID root = 0 mais avant de tripoter les confs de pam, je serais toi je me documenterais à fond, parce qu'il n'y a rien de plus facile pour rendre une machine inutilisable que de toucher à la conf de pam -- Most Texans think Hanukkah is some sort of duck call. -- Richard Lewis -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] This mail has originated outside your organization, either from an external partner or the Global Internet. Keep this in mind if you answer this message. This e-mail is intended only for the above addressee. It may contain privileged information. If you are not the addressee you must not copy, distribute, disclose or use any of the information in it. If you have received it in error please delete it and immediately notify the sender. Security Notice: all e-mail, sent to or from this address, may be accessed by someone other than the recipient, for system management and security reasons. This access is controlled under Regulation of security reasons. This access is controlled under Regulation of Investigatory Powers Act 2000, Lawful Business Practises.
Re: Authentification LDAP et pb avec su
Le Mon, 14 Jan 2008 11:47:30 +0100, "Jean-Yves F. Barbier" <[EMAIL PROTECTED]> a écrit : > > à vue de nez, ça serait ici que ça pêche: pam veut UID>=1000, alors > que UID root = 0 > > mais avant de tripoter les confs de pam, je serais toi je me > documenterais à fond, parce qu'il n'y a rien de plus facile pour > rendre une machine inutilisable que de toucher à la conf de pam Ah, j'avais oublié de dire que j'avais essayé de commenter cette ligne. Ca ne change rien. Sinon, oui, en effet, je garde toujours un shell ouvert quand je teste :) Expérience en effet... -- Emmanuel Lesouef
Re: Authentification LDAP et pb avec su
Emmanuel Lesouef a écrit : Bonjour, Voilà, j'ai une authentification LDAP centralisé de plusieurs machines qui fonctionne vraiment bien. Pas de soucis. Or, depuis la mise en place de cette authentification LDAP, je ne peux plus me connecter en root, que ce soit en direct ou en su. ... Et voilà le contenu de mon /etc/pam.d/common-auth : authrequired pam_unix.so authrequisitepam_succeed_if.so uid >= 1000 quiet à vue de nez, ça serait ici que ça pêche: pam veut UID>=1000, alors que UID root = 0 mais avant de tripoter les confs de pam, je serais toi je me documenterais à fond, parce qu'il n'y a rien de plus facile pour rendre une machine inutilisable que de toucher à la conf de pam -- Most Texans think Hanukkah is some sort of duck call. -- Richard Lewis -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Authentification LDAP et pb avec su
Bonjour, Voilà, j'ai une authentification LDAP centralisé de plusieurs machines qui fonctionne vraiment bien. Pas de soucis. Or, depuis la mise en place de cette authentification LDAP, je ne peux plus me connecter en root, que ce soit en direct ou en su. Disons que ce n'est pas vraiment grave car sudo me le permet avec un 'sudo -s' mais j'aimerai comprendre... Et en plus c'est pas propre. Voilà ce que j'ai dans les logs (auth.log) : Jan 14 11:18:24 auth su[8543]: pam_authenticate: Authentication failure Jan 14 11:18:24 auth su[8543]: FAILED su for root by elesouef Jan 14 11:18:24 auth su[8543]: - pts/3 elesouef:root Et voilà le contenu de mon /etc/pam.d/common-auth : authrequired pam_unix.so authrequisitepam_succeed_if.so uid >= 1000 quiet authsufficient pam_ldap.so use_first_pass authrequiredpam_deny.so Est-ce que quelqu'un a une idée ? Merci beaucoup. -- Emmanuel Lesouef