Kezdőlap › Fórumok › SOS! Bajban vagyok › PAM_TIME már megint
- This topic has 24 hozzászólás, 4 résztvevő, and was last updated 16 years, 3 months telt el by
uhlaci.
-
SzerzőBejegyzés
-
2009-03-20-04:44 #2147790
Igen! Ezt a lehetőséget már körbejártam. Mint írtam, van néhány olyan „tartalék” felhasználóm, akiket a többivel együtt hoztam létre ( egy szkript), amikkel még soha nem volt belépés, most azokkal sem lehet belépni, pedig a time.conf-ot is ugyan az a szkript töltötte ki a számukra is, azaz minden tök „egyforma”, azzal a különbséggel, hogy még nem léptek be. Tehát sem a vadonat újonnan létrehozott felhasználók, sem a több hónapja létrehozott, de még nem bejelentkezett felhasználók nem tudnak a pam_time.so „miatt” belépni.
A maradék hajamat is lassan kitépem szálanként!2009-03-20-04:44 #2147791Igen! Ezt a lehetőséget már körbejártam. Mint írtam, van néhány olyan „tartalék” felhasználóm, akiket a többivel együtt hoztam létre ( egy szkript), amikkel még soha nem volt belépés, most azokkal sem lehet belépni, pedig a time.conf-ot is ugyan az a szkript töltötte ki a számukra is, azaz minden tök „egyforma”, azzal a különbséggel, hogy még nem léptek be. Tehát sem a vadonat újonnan létrehozott felhasználók, sem a több hónapja létrehozott, de még nem bejelentkezett felhasználók nem tudnak a pam_time.so „miatt” belépni.
A maradék hajamat is lassan kitépem szálanként!2009-03-20-13:38 #2147792Eddig nem kérdeztem, a nyomkövetési mód is mindenhol be van kapcsolva?
pam.conf: (a többi modulnak sem árt a debug)
account required pam_time.so debugsmb.conf:
log level= 4 auth:102009-03-20-13:38 #2147793Eddig nem kérdeztem, a nyomkövetési mód is mindenhol be van kapcsolva?
pam.conf: (a többi modulnak sem árt a debug)
account required pam_time.so debugsmb.conf:
log level= 4 auth:102009-03-20-17:55 #2147794A pam.d önyvtár squid fájljában már csak egy sor van: account required pam_tim.so debug
A régi felhasználók rendben tudnak internetezni a proxyn keresztül, miután megadják a jelszavukat, ssh-n keresztül, w3m-el tesztelem itthonról.
Ha rossz időpontban próbálkozik vagy elüti a nevét vagy a jelszavát elüti, az auth.logban meglelenik egy sor. De! Ha új felhasználóval próbálkozom, wrong password or username hibaüzenettel elutasít a w3m-en keresztül a proxy, viszont auth.logban semmi, syslog, dmesg, …. minden 100-szor átnyálazva.
Ha a fenti sort törlöm, akkor új felhasználó simán netezhet. Ha elüti a jelszót, akkor az auth logban megjelenik egy új sor:(
Már sokat szívtam ezzel a nyomorult időzítéssel, valakinek valami jó ötlete nincs a time.conf kikerülésére?2009-03-20-17:55 #2147795A pam.d önyvtár squid fájljában már csak egy sor van: account required pam_tim.so debug
A régi felhasználók rendben tudnak internetezni a proxyn keresztül, miután megadják a jelszavukat, ssh-n keresztül, w3m-el tesztelem itthonról.
Ha rossz időpontban próbálkozik vagy elüti a nevét vagy a jelszavát elüti, az auth.logban meglelenik egy sor. De! Ha új felhasználóval próbálkozom, wrong password or username hibaüzenettel elutasít a w3m-en keresztül a proxy, viszont auth.logban semmi, syslog, dmesg, …. minden 100-szor átnyálazva.
Ha a fenti sort törlöm, akkor új felhasználó simán netezhet. Ha elüti a jelszót, akkor az auth logban megjelenik egy új sor:(
Már sokat szívtam ezzel a nyomorult időzítéssel, valakinek valami jó ötlete nincs a time.conf kikerülésére?2009-03-20-19:23 #2147796Már kezdem érteni mi hogy van beállítva a szervere.
uhlaci wrote:A régi felhasználók rendben tudnak internetezni a proxyn keresztül, miután megadják a jelszavukat, ssh-n keresztül, w3m-el tesztelem itthonról.Szerintem a régi felhasználókat nem a PAM lépteti be. Az új felhasználókkal nem megy a PAM, azért nem tudnak belépni. Vagy a régi felhasználóknál nem 1:1 a proxy:rendszer leképezés.
uhlaci wrote:A pam.d önyvtár squid fájljában már csak egy sor van: account required pam_tim.so debugEz jól működik a log-ból ítélve, csak a jelszó ellenőrzés hiányzik. Ha nincs szabály minden mehet, de ha van account controll, akkor auth is kell.
uhlaci wrote:Ha rossz időpontban próbálkozik vagy elüti a nevét vagy a jelszavát elüti, az auth.logban meglelenik egy sor. De! Ha új felhasználóval próbálkozom, wrong password or username hibaüzenettel elutasít a w3m-en keresztül a proxy, viszont auth.logban semmi, syslog, dmesg, …. minden 100-szor átnyálazva.Kevered a samba/squid témát, a samba log bejegyzés hatására nem fog a squid naplózni. Alapból ki van kapcsolva, mert nagy fogalom esetén megeszi a vinyót és lassítja a rendszert. A logrotate meg nem nagyüzemi megoldás.
squid.conf:
debug_options ALL, 9uhlaci wrote:Ha a fenti sort törlöm, akkor új felhasználó simán netezhet. Ha elüti a jelszót, akkor az auth logban megjelenik egy új sor:(Nekem ez ellentmondásnak tűnik. Ha üres a PAM config akkor valahonnan veszi a beállításokat. Nem ismerem jól a Debiant, talán van default szabály valahol? Egyátalán a PAM írja be azt az új sort, vagy a squid?
uhlaci wrote:Már sokat szívtam ezzel a nyomorult időzítéssel, valakinek valami jó ötlete nincs a time.conf kikerülésére?A pam_time jól működik, a többi beállítással van a probléma. Mivel a squid és a samba is képes sokféleképpen hitelesíteni, a mix nem mindig sikerül jól. Viszont mindkettő képes külső forrásból hitelesíteni, így akár saját magad is írhatsz egy beléptető rendszert.
Ha nem akarsz konfig fájl beküldeni az nem gond, csak meg kelle erősítened pár dolgot:
1. a squid és a samba PAM jól van kitöltve
2. sem a squid, sem a samba nem hitelesít máshonnan mint a PAM
3. mindegyik konfigban be van kapcsolva (az alapból kikapcsolt) naplózás
4. 1:1 a leképezés az alkalmazás és a rendszer felhasználói között2009-03-20-19:23 #2147797Már kezdem érteni mi hogy van beállítva a szervere.
uhlaci wrote:A régi felhasználók rendben tudnak internetezni a proxyn keresztül, miután megadják a jelszavukat, ssh-n keresztül, w3m-el tesztelem itthonról.Szerintem a régi felhasználókat nem a PAM lépteti be. Az új felhasználókkal nem megy a PAM, azért nem tudnak belépni. Vagy a régi felhasználóknál nem 1:1 a proxy:rendszer leképezés.
uhlaci wrote:A pam.d önyvtár squid fájljában már csak egy sor van: account required pam_tim.so debugEz jól működik a log-ból ítélve, csak a jelszó ellenőrzés hiányzik. Ha nincs szabály minden mehet, de ha van account controll, akkor auth is kell.
uhlaci wrote:Ha rossz időpontban próbálkozik vagy elüti a nevét vagy a jelszavát elüti, az auth.logban meglelenik egy sor. De! Ha új felhasználóval próbálkozom, wrong password or username hibaüzenettel elutasít a w3m-en keresztül a proxy, viszont auth.logban semmi, syslog, dmesg, …. minden 100-szor átnyálazva.Kevered a samba/squid témát, a samba log bejegyzés hatására nem fog a squid naplózni. Alapból ki van kapcsolva, mert nagy fogalom esetén megeszi a vinyót és lassítja a rendszert. A logrotate meg nem nagyüzemi megoldás.
squid.conf:
debug_options ALL, 9uhlaci wrote:Ha a fenti sort törlöm, akkor új felhasználó simán netezhet. Ha elüti a jelszót, akkor az auth logban megjelenik egy új sor:(Nekem ez ellentmondásnak tűnik. Ha üres a PAM config akkor valahonnan veszi a beállításokat. Nem ismerem jól a Debiant, talán van default szabály valahol? Egyátalán a PAM írja be azt az új sort, vagy a squid?
uhlaci wrote:Már sokat szívtam ezzel a nyomorult időzítéssel, valakinek valami jó ötlete nincs a time.conf kikerülésére?A pam_time jól működik, a többi beállítással van a probléma. Mivel a squid és a samba is képes sokféleképpen hitelesíteni, a mix nem mindig sikerül jól. Viszont mindkettő képes külső forrásból hitelesíteni, így akár saját magad is írhatsz egy beléptető rendszert.
Ha nem akarsz konfig fájl beküldeni az nem gond, csak meg kelle erősítened pár dolgot:
1. a squid és a samba PAM jól van kitöltve
2. sem a squid, sem a samba nem hitelesít máshonnan mint a PAM
3. mindegyik konfigban be van kapcsolva (az alapból kikapcsolt) naplózás
4. 1:1 a leképezés az alkalmazás és a rendszer felhasználói között2009-03-21-08:49 #2147798Köszönöm a segítőkészséged!
Először is: egyszerrre csak egy dolgot piszkáltam, a squidet, gondolván, hogy ha ezzel sikerül megoldanom, akkor a Samba is menni fog. Ezért a pam.d/squid fájlban csak a pam_time.so-ra vonatkozó sort hagytam. A squid.conf-ban:
auth_param basic program /usr/sbin/pam_auth-van, ami erre vonatkozik, plussz:
acl password proxy_auth required; majd
http_access allow password
Úgy érzem, hogy kb ezek a sorok, amik az én kínomban fontosak. A time.conf beállításait figyelembe is veszi, hiszen ha egy „régi” felhasználónak átírom a time.conf-ban az időpontjait, megváltozik, hogy mikor léphet be, azaz szerintem a squid „használja” a pam.d/squid-be beírt pam_time.so-ra vonatkozó részt.
A beállításokat az interneten talált leírások segítségével ollóztam össze, s mivel működött, nem törtem össze magam, hogy meg is értsem minden sor jelentését, ennek most látom kárát, de legalább most…:)
Tegnap óta már bennem is motoszkál a kérdés, hogyha a pam.d/squid-ből mindent kitörlök, akkor miért is ugrik fel az azonosítást kérő ablak?
Szóval: 1. Fogalmam sincs, hogy jól van-e kitöltve, szerintem igen, hiszen a „kívánságaim” szerint működött eddig:(
2. Szerintem a squid máshonnan nem hitelesíthet, hiszen userek csak a passwd-ben vannak, illetve az smbpasswd-ben, de a squidnek ahhoz szerintem semmi köze nem lehet. (szerintem ez a 4. kérdésedre is válasz)
3. A naplózással egyenlőre még sáros vagyok.2009-03-21-08:49 #2147799Köszönöm a segítőkészséged!
Először is: egyszerrre csak egy dolgot piszkáltam, a squidet, gondolván, hogy ha ezzel sikerül megoldanom, akkor a Samba is menni fog. Ezért a pam.d/squid fájlban csak a pam_time.so-ra vonatkozó sort hagytam. A squid.conf-ban:
auth_param basic program /usr/sbin/pam_auth-van, ami erre vonatkozik, plussz:
acl password proxy_auth required; majd
http_access allow password
Úgy érzem, hogy kb ezek a sorok, amik az én kínomban fontosak. A time.conf beállításait figyelembe is veszi, hiszen ha egy „régi” felhasználónak átírom a time.conf-ban az időpontjait, megváltozik, hogy mikor léphet be, azaz szerintem a squid „használja” a pam.d/squid-be beírt pam_time.so-ra vonatkozó részt.
A beállításokat az interneten talált leírások segítségével ollóztam össze, s mivel működött, nem törtem össze magam, hogy meg is értsem minden sor jelentését, ennek most látom kárát, de legalább most…:)
Tegnap óta már bennem is motoszkál a kérdés, hogyha a pam.d/squid-ből mindent kitörlök, akkor miért is ugrik fel az azonosítást kérő ablak?
Szóval: 1. Fogalmam sincs, hogy jól van-e kitöltve, szerintem igen, hiszen a „kívánságaim” szerint működött eddig:(
2. Szerintem a squid máshonnan nem hitelesíthet, hiszen userek csak a passwd-ben vannak, illetve az smbpasswd-ben, de a squidnek ahhoz szerintem semmi köze nem lehet. (szerintem ez a 4. kérdésedre is válasz)
3. A naplózással egyenlőre még sáros vagyok. -
SzerzőBejegyzés
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz