Re: PAM-Problem: Kennwort-Synchronisation zwischen Samba und LDAP
Hallo Paul, * Paul Coray [EMAIL PROTECTED] [20051214 16:42]: In der Shell koennen sich die User mit smbldap-passwd ein neues Kennwort verpassen. Das würde ich noch transparent so gestalten, dass auch die Eingabe von passwd grundsätzlich smbldap-passwd aufruft: cd /usr/bin dpkg-divert --rename --divert /usr/bin/passwd.unix /usr/bin/passwd ln -s /usr/sbin/smbldap-passwd passwd Wer dann aus irgendeinem Grund doch einmal /nur/ sein Unix-Passwort ändern will ruft passwd.unix auf. Grüße, Felix -- | /\ ASCII Ribbon | Felix M. Palmen (Zirias)http://zirias.ath.cx/ | | \ / Campaign Against | [EMAIL PROTECTED] encrypted mail welcome | | XHTML In Mail | PGP key: http://zirias.ath.cx/pub.txt | | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 | signature.asc Description: Digital signature
Re: PAM-Problem: Kennwort-Synchronisation zwischen Samba und LDAP
On 12/14/05, Andreas Vögele [EMAIL PROTECTED] wrote: password requisite pam_passwdqc.so max=8 passphrase=0 enforce=users ask_oldauthtok password requisite pam_smbpass.so use_authtok use_first_pass password sufficient pam_ldap.so use_authtok use_first_pass password required pam_unix.so nullok md5 use_authtok use_first_pass Vielen Dank für deine Antwort: Das requisite war das, was mir gefehlt hat. Für alle Benutzer, deren Daten auf dem LDAP-Server liegen funktioniert das wunderbar. Aber root kann sein Kennwort so nicht ändern. Die Account-Daten von root liegen nicht auf dem LDAP-Server. Erstens, damit es möglich ist auf verschiedenen Rechnern verschiedene Root-Kennwörter benutzen zu können. Und zweitens damit niemand auf die Idee kommt, sich als Root über Samba anzumelden. Wie handhabst du das? Gruß, Jim
Re: PAM-Problem: Kennwort-Synchronisation zwischen Samba und LDAP
On 12/15/05, Jim MacBaine [EMAIL PROTECTED] wrote: Aber root kann sein Kennwort so nicht ändern. So, ich glaube jetzt habe ich eine funktionierende Lösung: Ich habe mir aus der PAM-Doku für die Schlüsselwörter requisite und sufficient die ausgührliche Syntax in der Klammernschreibweise herausgesucht und sie durch diese ersetzt. Anschließend habe ich ein user_unknown=ignore hinzugefügt, damit die LDAP- und SMB-Zeilen ignoriert werden, wenn der Benutzer nicht im LDAP-Verzeichnis existiert. Zu guter letzt musste ich noch für pam_unix.so die Optionen use_authtok und use_first_pass entfernen, da ja für den Fall eines lokalen Benutzers weder ein altes Kennwort noch ein neues aus den vorhergehenden Zeilen existieren. Also sieht es jetzt so aus: password [success=ok new_authtok_reqd=ok ignore=ignore user_unknown=ignore default=die] pam_ldap.so password [success=done new_authtok_reqd=done user_unknown=ignore default=ignore] pam_smbpass.so use_authtok use_first_pass password required pam_unix.so nullok md5 Gruß, Jim
Re: PAM-Problem: Kennwort-Synchronisation zwischen Samba und LDAP
Jim MacBaine schreibt: Aber root kann sein Kennwort so nicht ändern. Stimmt. Aber das setzt man sowieso nur einmal und verwendet dann sudo :-) So, ich glaube jetzt habe ich eine funktionierende Lösung: Ich habe mir aus der PAM-Doku für die Schlüsselwörter requisite und sufficient die ausgührliche Syntax in der Klammernschreibweise herausgesucht und sie durch diese ersetzt. Anschließend habe ich ein user_unknown=ignore hinzugefügt, damit die LDAP- und SMB-Zeilen ignoriert werden, wenn der Benutzer nicht im LDAP-Verzeichnis existiert. Und das funktioniert unter Sarge? Ich hatte unter Sarge mit der doch recht alten PAM-Version Probleme, als ich die ausfuehrliche Syntax verwenden wollte. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: PAM-Problem: Kennwort-Synchronisation zwischen Samba und LDAP
On 12/15/05, Andreas Vögele [EMAIL PROTECTED] wrote: Und das funktioniert unter Sarge? Ich hatte unter Sarge mit der doch recht alten PAM-Version Probleme, als ich die ausfuehrliche Syntax verwenden wollte. Ja, soweit ich sehen kann ohne Probleme. Ab Montag werden die Benutzer darauf los gelassen. Wenn es nicht wie erwartet funktioniert, werde ich hier berichten. Gruß, Jim
Re: PAM-Problem: Kennwort-Synchronisation zwischen Samba und LDAP
Jim MacBaine schrieb: Hallo, Ich versuche seit gestern, auf ein Sarge-System so einzurichten, dass Unix- und Samba-Kennwort immer synchron sind. [snip] Ich habe verschiedene Möglichkeiten probiert, hier pam_smbpass.so unterzubringen, aber bin zu keiner Lösung gekommen. Hat vielleicht jemand einen Tip für mich? Hier laeuft das problemlos mit den smbldap-tools und folgenden Eintraegen in der smb.conf. Wichtig ist der Erste. ldap passwd sync = Yes passdb backend = ldapsam:[URI LDAP server] ldap admin dn = cn=[LDAP user mit Schreibrecht] ldap suffix = dc=xx,dc=xxx,dc=xx ldap group suffix = ou=Groups ldap user suffix = ou=Users ldap machine suffix = ou=Computers add user script = /usr/sbin/smbldap-useradd -m %u add machine script = /usr/sbin/smbldap-useradd -w %u add group script = /usr/sbin/smbldap-groupadd -p %g add user to group script = /usr/sbin/smbldap-groupmod -m %u %g delete user from group script = /usr/sbin/smbldap-groupmod -x %u %g set primary group script = /usr/sbin/smbldap-usermod -g %g %u In der Shell koennen sich die User mit smbldap-passwd ein neues Kennwort verpassen. Gruss Paul -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: PAM-Problem: Kennwort-Synchronisation zwischen Samba und LDAP
Jim MacBaine schreibt: Ist es möglich, /etc/pam.d/common-password so einzurichten, dass gleichzeitig das LDAP- und das Samba-Kennwort geändert werden? Die Datei common-password sieht bei mir unter Sarge so aus: password requisite pam_passwdqc.so max=8 passphrase=0 enforce=users ask_oldauthtok password requisite pam_smbpass.so use_authtok use_first_pass password sufficient pam_ldap.so use_authtok use_first_pass password required pam_unix.so nullok md5 use_authtok use_first_pass -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
PAM-Problem: Kennwort-Synchronisation zwischen Samba und LDAP
Hallo, Ich versuche seit gestern, auf ein Sarge-System so einzurichten, dass Unix- und Samba-Kennwort immer synchron sind. Ich habe etwa ein dutzend Benutzer, die sich auf verschiedenen (LInux, BSD, Solaris)-Rechnern einloggen. Die Benutzerdaten liegen zentral auf einem LDAP-Server, mit dem passwd-Befehl können die Benutzer ihr LDAP-Kennwort ändern. Soweit funktioniert alles bestens. Die Benutzer müssen auch von außen über Samba auf ihre Heimatverzeichnisse zugreifen können. Auch Samba bekommt seine Benutzerinformationen aus dem gleichen LDAP-Verzeichnis, die Benutzer können ihr Kennwort mit smbpasswd ändern. Soweit funktioniert es auch. Nun möchte ich gerne, dass die Samba-Kennwörter beim Ändern des Kennwortes mit passwd auch neu gesetzt werden. Genau für diesen Zweck gibt es doch libpam_smbpass, oder? Mein erster Versuch bestand darin, die migrate-Funktion von pam_smb zu benutzen. Also auth optional pam_smbpass.so migrate in /etc/pam.d/common-auth. Jetzt wird das LDAP-Kennwort, das erfolgreich zum Anmelden genutzt worden ist, auch zum Samba-Kennwort gemacht. Funktioniert, allerdings mit starken Nebenwirkungen; verschiedene Anwendungen, die PAM benutzen funktionieren nicht mehr: Der KDE-Bildschirm lässt sich nicht mehr entsperren, su wirft Segfaults. Ist es möglich, /etc/pam.d/common-password so einzurichten, dass gleichzeitig das LDAP- und das Samba-Kennwort geändert werden? Im Moment sieht common-password bei mir so aus: password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5 Ich habe verschiedene Möglichkeiten probiert, hier pam_smbpass.so unterzubringen, aber bin zu keiner Lösung gekommen. Hat vielleicht jemand einen Tip für mich? Vielen Dank, Jim