PAM_TIME már megint

Kezdőlap Fórumok SOS! Bajban vagyok PAM_TIME már megint

10 bejegyzés megtekintése - 11-20 / 25
  • Szerző
    Bejegyzés
  • #2147790
    uhlaci
    Felhasználó

      Igen! Ezt a lehetőséget már körbejártam. Mint írtam, van néhány olyan „tartalék” felhasználóm, akiket a többivel együtt hoztam létre ( egy szkript), amikkel még soha nem volt belépés, most azokkal sem lehet belépni, pedig a time.conf-ot is ugyan az a szkript töltötte ki a számukra is, azaz minden tök „egyforma”, azzal a különbséggel, hogy még nem léptek be. Tehát sem a vadonat újonnan létrehozott felhasználók, sem a több hónapja létrehozott, de még nem bejelentkezett felhasználók nem tudnak a pam_time.so „miatt” belépni.
      A maradék hajamat is lassan kitépem szálanként!

      #2147791
      uhlaci
      Felhasználó

        Igen! Ezt a lehetőséget már körbejártam. Mint írtam, van néhány olyan „tartalék” felhasználóm, akiket a többivel együtt hoztam létre ( egy szkript), amikkel még soha nem volt belépés, most azokkal sem lehet belépni, pedig a time.conf-ot is ugyan az a szkript töltötte ki a számukra is, azaz minden tök „egyforma”, azzal a különbséggel, hogy még nem léptek be. Tehát sem a vadonat újonnan létrehozott felhasználók, sem a több hónapja létrehozott, de még nem bejelentkezett felhasználók nem tudnak a pam_time.so „miatt” belépni.
        A maradék hajamat is lassan kitépem szálanként!

        #2147792
        gabaman
        Felhasználó

          Eddig nem kérdeztem, a nyomkövetési mód is mindenhol be van kapcsolva?

          pam.conf: (a többi modulnak sem árt a debug)
          account required pam_time.so debug

          smb.conf:
          log level= 4 auth:10

          #2147793
          gabaman
          Felhasználó

            Eddig nem kérdeztem, a nyomkövetési mód is mindenhol be van kapcsolva?

            pam.conf: (a többi modulnak sem árt a debug)
            account required pam_time.so debug

            smb.conf:
            log level= 4 auth:10

            #2147794
            uhlaci
            Felhasználó

              A pam.d önyvtár squid fájljában már csak egy sor van: account  required  pam_tim.so  debug
              A régi felhasználók rendben tudnak internetezni a proxyn keresztül, miután megadják a jelszavukat, ssh-n keresztül, w3m-el tesztelem itthonról.
              Ha rossz időpontban próbálkozik vagy elüti a nevét vagy a jelszavát elüti, az auth.logban meglelenik egy sor. De! Ha új felhasználóval próbálkozom, wrong password or username hibaüzenettel elutasít a w3m-en keresztül a proxy, viszont auth.logban semmi, syslog, dmesg, …. minden 100-szor átnyálazva.
              Ha a fenti sort törlöm, akkor új felhasználó simán netezhet. Ha elüti a jelszót, akkor az auth logban megjelenik egy új sor:(
              Már sokat szívtam ezzel a nyomorult időzítéssel, valakinek valami jó ötlete nincs a time.conf kikerülésére?

              #2147795
              uhlaci
              Felhasználó

                A pam.d önyvtár squid fájljában már csak egy sor van: account  required  pam_tim.so  debug
                A régi felhasználók rendben tudnak internetezni a proxyn keresztül, miután megadják a jelszavukat, ssh-n keresztül, w3m-el tesztelem itthonról.
                Ha rossz időpontban próbálkozik vagy elüti a nevét vagy a jelszavát elüti, az auth.logban meglelenik egy sor. De! Ha új felhasználóval próbálkozom, wrong password or username hibaüzenettel elutasít a w3m-en keresztül a proxy, viszont auth.logban semmi, syslog, dmesg, …. minden 100-szor átnyálazva.
                Ha a fenti sort törlöm, akkor új felhasználó simán netezhet. Ha elüti a jelszót, akkor az auth logban megjelenik egy új sor:(
                Már sokat szívtam ezzel a nyomorult időzítéssel, valakinek valami jó ötlete nincs a time.conf kikerülésére?

                #2147796
                gabaman
                Felhasználó

                  Már kezdem érteni mi hogy van beállítva a szervere.

                  uhlaci wrote:
                  A régi felhasználók rendben tudnak internetezni a proxyn keresztül, miután megadják a jelszavukat, ssh-n keresztül, w3m-el tesztelem itthonról.

                  Szerintem a régi felhasználókat nem a PAM lépteti be. Az új felhasználókkal nem megy a PAM, azért nem tudnak belépni. Vagy a régi felhasználóknál nem 1:1 a proxy:rendszer leképezés.

                  uhlaci wrote:
                  A pam.d önyvtár squid fájljában már csak egy sor van: account   required   pam_tim.so  debug

                  Ez jól működik a log-ból ítélve, csak a jelszó ellenőrzés hiányzik. Ha nincs szabály minden mehet, de ha van account controll, akkor auth is kell.

                  uhlaci wrote:
                  Ha rossz időpontban próbálkozik vagy elüti a nevét vagy a jelszavát elüti, az auth.logban meglelenik egy sor. De! Ha új felhasználóval próbálkozom, wrong password or username hibaüzenettel elutasít a w3m-en keresztül a proxy, viszont auth.logban semmi, syslog, dmesg, …. minden 100-szor átnyálazva.

                  Kevered a samba/squid témát, a samba log bejegyzés hatására nem fog a squid naplózni. Alapból ki van kapcsolva, mert nagy fogalom esetén megeszi a vinyót és lassítja a rendszert. A logrotate meg nem nagyüzemi megoldás.

                  squid.conf:
                  debug_options ALL, 9

                  uhlaci wrote:
                  Ha a fenti sort törlöm, akkor új felhasználó simán netezhet. Ha elüti a jelszót, akkor az auth logban megjelenik egy új sor:(

                  Nekem ez ellentmondásnak tűnik. Ha üres a PAM config akkor valahonnan veszi a beállításokat. Nem ismerem jól a Debiant, talán van default szabály valahol? Egyátalán a PAM írja be azt az új sort, vagy a squid?

                  uhlaci wrote:
                  Már sokat szívtam ezzel a nyomorult időzítéssel, valakinek valami jó ötlete nincs a time.conf kikerülésére?

                  A pam_time jól működik, a többi beállítással van a probléma. Mivel a squid és a samba is képes sokféleképpen hitelesíteni, a mix nem mindig sikerül jól. Viszont mindkettő képes külső forrásból hitelesíteni, így akár saját magad is írhatsz egy beléptető rendszert.

                  Ha nem akarsz konfig fájl beküldeni az nem gond, csak meg kelle erősítened pár dolgot:
                  1. a squid és a samba PAM jól van kitöltve
                  2. sem a squid, sem a samba nem hitelesít máshonnan mint a PAM
                  3. mindegyik konfigban be van kapcsolva (az alapból kikapcsolt) naplózás
                  4. 1:1 a leképezés az alkalmazás és a rendszer felhasználói között

                  #2147797
                  gabaman
                  Felhasználó

                    Már kezdem érteni mi hogy van beállítva a szervere.

                    uhlaci wrote:
                    A régi felhasználók rendben tudnak internetezni a proxyn keresztül, miután megadják a jelszavukat, ssh-n keresztül, w3m-el tesztelem itthonról.

                    Szerintem a régi felhasználókat nem a PAM lépteti be. Az új felhasználókkal nem megy a PAM, azért nem tudnak belépni. Vagy a régi felhasználóknál nem 1:1 a proxy:rendszer leképezés.

                    uhlaci wrote:
                    A pam.d önyvtár squid fájljában már csak egy sor van: account   required   pam_tim.so  debug

                    Ez jól működik a log-ból ítélve, csak a jelszó ellenőrzés hiányzik. Ha nincs szabály minden mehet, de ha van account controll, akkor auth is kell.

                    uhlaci wrote:
                    Ha rossz időpontban próbálkozik vagy elüti a nevét vagy a jelszavát elüti, az auth.logban meglelenik egy sor. De! Ha új felhasználóval próbálkozom, wrong password or username hibaüzenettel elutasít a w3m-en keresztül a proxy, viszont auth.logban semmi, syslog, dmesg, …. minden 100-szor átnyálazva.

                    Kevered a samba/squid témát, a samba log bejegyzés hatására nem fog a squid naplózni. Alapból ki van kapcsolva, mert nagy fogalom esetén megeszi a vinyót és lassítja a rendszert. A logrotate meg nem nagyüzemi megoldás.

                    squid.conf:
                    debug_options ALL, 9

                    uhlaci wrote:
                    Ha a fenti sort törlöm, akkor új felhasználó simán netezhet. Ha elüti a jelszót, akkor az auth logban megjelenik egy új sor:(

                    Nekem ez ellentmondásnak tűnik. Ha üres a PAM config akkor valahonnan veszi a beállításokat. Nem ismerem jól a Debiant, talán van default szabály valahol? Egyátalán a PAM írja be azt az új sort, vagy a squid?

                    uhlaci wrote:
                    Már sokat szívtam ezzel a nyomorult időzítéssel, valakinek valami jó ötlete nincs a time.conf kikerülésére?

                    A pam_time jól működik, a többi beállítással van a probléma. Mivel a squid és a samba is képes sokféleképpen hitelesíteni, a mix nem mindig sikerül jól. Viszont mindkettő képes külső forrásból hitelesíteni, így akár saját magad is írhatsz egy beléptető rendszert.

                    Ha nem akarsz konfig fájl beküldeni az nem gond, csak meg kelle erősítened pár dolgot:
                    1. a squid és a samba PAM jól van kitöltve
                    2. sem a squid, sem a samba nem hitelesít máshonnan mint a PAM
                    3. mindegyik konfigban be van kapcsolva (az alapból kikapcsolt) naplózás
                    4. 1:1 a leképezés az alkalmazás és a rendszer felhasználói között

                    #2147798
                    uhlaci
                    Felhasználó

                      Köszönöm a segítőkészséged!
                      Először is: egyszerrre csak egy dolgot piszkáltam, a squidet, gondolván, hogy ha ezzel sikerül megoldanom, akkor a Samba is menni fog. Ezért a pam.d/squid fájlban csak a pam_time.so-ra  vonatkozó sort hagytam. A squid.conf-ban:
                      auth_param basic program /usr/sbin/pam_auth-van, ami erre vonatkozik, plussz:
                      acl password proxy_auth required; majd
                      http_access allow password
                      Úgy érzem, hogy kb ezek a sorok, amik az én kínomban fontosak. A time.conf beállításait figyelembe is veszi, hiszen ha egy „régi” felhasználónak átírom a time.conf-ban az időpontjait, megváltozik, hogy mikor léphet be, azaz szerintem a squid „használja” a pam.d/squid-be beírt pam_time.so-ra vonatkozó részt.
                      A beállításokat az interneten talált leírások segítségével ollóztam össze, s mivel működött, nem törtem össze magam, hogy meg is értsem minden sor jelentését, ennek most látom kárát, de legalább most…:)
                      Tegnap óta már bennem is motoszkál a kérdés, hogyha a pam.d/squid-ből mindent kitörlök, akkor miért is ugrik fel az azonosítást kérő ablak?
                      Szóval: 1. Fogalmam sincs, hogy jól van-e kitöltve, szerintem igen, hiszen a „kívánságaim” szerint működött eddig:(
                      2. Szerintem a squid máshonnan nem hitelesíthet, hiszen userek csak a passwd-ben vannak, illetve az smbpasswd-ben, de a squidnek ahhoz szerintem semmi köze nem lehet. (szerintem ez a 4. kérdésedre is válasz)
                      3. A naplózással egyenlőre még sáros vagyok.

                      #2147799
                      uhlaci
                      Felhasználó

                        Köszönöm a segítőkészséged!
                        Először is: egyszerrre csak egy dolgot piszkáltam, a squidet, gondolván, hogy ha ezzel sikerül megoldanom, akkor a Samba is menni fog. Ezért a pam.d/squid fájlban csak a pam_time.so-ra  vonatkozó sort hagytam. A squid.conf-ban:
                        auth_param basic program /usr/sbin/pam_auth-van, ami erre vonatkozik, plussz:
                        acl password proxy_auth required; majd
                        http_access allow password
                        Úgy érzem, hogy kb ezek a sorok, amik az én kínomban fontosak. A time.conf beállításait figyelembe is veszi, hiszen ha egy „régi” felhasználónak átírom a time.conf-ban az időpontjait, megváltozik, hogy mikor léphet be, azaz szerintem a squid „használja” a pam.d/squid-be beírt pam_time.so-ra vonatkozó részt.
                        A beállításokat az interneten talált leírások segítségével ollóztam össze, s mivel működött, nem törtem össze magam, hogy meg is értsem minden sor jelentését, ennek most látom kárát, de legalább most…:)
                        Tegnap óta már bennem is motoszkál a kérdés, hogyha a pam.d/squid-ből mindent kitörlök, akkor miért is ugrik fel az azonosítást kérő ablak?
                        Szóval: 1. Fogalmam sincs, hogy jól van-e kitöltve, szerintem igen, hiszen a „kívánságaim” szerint működött eddig:(
                        2. Szerintem a squid máshonnan nem hitelesíthet, hiszen userek csak a passwd-ben vannak, illetve az smbpasswd-ben, de a squidnek ahhoz szerintem semmi köze nem lehet. (szerintem ez a 4. kérdésedre is válasz)
                        3. A naplózással egyenlőre még sáros vagyok.

                      10 bejegyzés megtekintése - 11-20 / 25
                      • Be kell jelentkezni a hozzászóláshoz.