[BSD] pam ldap nyug

Gabor HALASZ halasz.g at freemail.hu
2010. Május. 31., H, 15:46:33 CEST 

On 2010.05.31. 15:11, Papp Tamás wrote:
>
> Gabor HALASZ wrote, On 2010. 05. 31. 13:49:
>>> Lokalisan
>>> biztosan nem letezik a user?
>>
>> Igen, de az a user sem megy, ami lokalisan letezik (pl root).
>
> Akkor viszont nincs koze az ldap-hoz, nem?
>

Ugy ertem, olyan userrel, ami az ldap-ban es a passwd fileben is letezik.

>> Igen, a gep tulajdonkeppen klonozott, zfs snapshot-bol keszult, csak a
>> szukseges dolgokat irtam at, nevek, ip cimek, ssl kulcsok, stb...
>
> Lassan csepegteted az informaciomorzsakat:)

Sokadik ilyen gepem, ez valamiert nem akar, pedig mindent atneztem mar 
tobbszor (valoszinuleg ezert is nem latom)

> Mas ilyen klonozott geped is van?

Mindegyik az. Van ket diszkem, amin van egy-egy bekonfiguralt base 
rendszer, es egy script, ami letrehozza a zfs volumeket, es atmasolja ra 
a diszken levo rendszert (b variacioban egy masik script snaphotolja a 
kivalasztott gepet es helyreallitja a sajat pool-on).

>>
>> Persze, kulonben a fenti logreszletet sem tudna eloallitani, a benne
>> levo dn-t mar az ldap szerver allitja elo (sasl regexp segitsegevel az
>> authz tokenbol).
>
> Igen, viszont az expire-t a jelek szerint nem az ldap-bol szarmazik,
> attol fuggetlenul produkalja.

Nem, az ldap-ban van, a login.conf-ban nincs is ilyen restrikcio. Az 
ldap szerver logjabol latszik is, mit akar:

conn=25064 op=1 SRCH base="ou=Users,dc=nns,dc=hu" scope=1 deref=0 
filter="(&(objectClass=posixAccount)(uid=halaszgabor))"
SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory 
loginShell gecos description objectClass shadowLastChange shadowMax 
shadowExpire loginClass

A konkret ertekek:

lastchange: 12111
max: 99999
min: 0
warning: 0

>
>> truss-sal neztem, de nem lettem okosabb. A login.conf/login.conf.db-t
>> matatja, es utana jon az expired uzenet. A login.conf a mukodo geprol
>> szarmazik, cap_mkdb volt.
>
> Letre is jon az uj login.conf.db, tehat legeneralja tutira? Egy rm &&
> cap_mkdb -t megerne azert.

Datum alapjan aktualis (de azert megcsinaltam ujra, nem segit).

>
> Vhol pedig ott lesz a kutya leasva, hogy vmelyik generalt adatbazisfile
> meg a regi geprol szarmazik.  Mi a helyzet a pwd.db-vel az spwd.db-vel,
> master.passwd.db?

Nem hasznalja, de ha kikapcsolom az ldap auth-ot, akkor a passwd alapjan 
beenged.

>
> Nekem tobb otletem nincs:)
>

Nem baj, hatha valami tampontot adnak mas otletei. Valami teljesen 
trivialis hulyeseg lehet, de egyszeruen nem veszem eszre.


-- 
Gabor HALASZ <halasz.g at freemail.hu>

További információk a(z) BSD levelezőlistáról