- This topic has 24 hozzászólás, 4 résztvevő, and was last updated 16 years, 3 months telt el by
.
-
Bejegyzés
-
uhlaci wrote:A time.conf beállításait figyelembe is veszi, hiszen ha egy „régi” felhasználónak átírom a time.conf-ban az időpontjait, megváltozik, hogy mikor léphet be, azaz szerintem a squid „használja” a pam.d/squid-be beírt pam_time.so-ra vonatkozó részt.
Ez megint ellentmondás, korábban azt írtad hogy rossz a pam_time modul. Szerintem jól működik és más hiányzik.
uhlaci wrote:Tegnap óta már bennem is motoszkál a kérdés, hogyha a pam.d/squid-ből mindent kitörlök, akkor miért is ugrik fel az azonosítást kérő ablak?Ezért, mert azt mondtad a squid proxy-nak, hogy „acl password proxy_auth; http_access allow password”, azaz használjon azonosítást. Ez független attól, hogy a PAM mit csinál és mit nem. Ha mindezt megelőzi egy másik „http_access” szabály, akkor nem dob fel bejelentkező ablakot, hanem végrehajtja amit tartalmaz (allow vagy deny). Nem is válaszoltál, hogy van-e másik http_access sor.
uhlaci wrote:Szóval: 1. Fogalmam sincs, hogy jól van-e kitöltve, szerintem igen, hiszen a „kívánságaim” szerint működött eddig:(Van az úgy, hogy a látszólagos és a valós működés eltér. Szerintem hiányzik a hitelesítés a PAM konfigból (pl. pam_unix), ezért nem is értem mi dobta vissza a régi felhasználók rossz jelszavát. Abban sem vagyok biztos, hogy az új felhasználók rendesen fel vannak véve a rendszer (helyi) felhasználók közé (csoport, home, /sbin/nologin, shadow rendben). Valami alapvető konfigurációs különbség biztosan van a régi és az új felhasználók között.
uhlaci wrote:3. A naplózással egyenlőre még sáros vagyok.Csak a napló alapján lehet kideríteni egyértelműen, hogy engedi be a PAM a régi felhasználókat, és a újakat miért nem. Egészen addig csak torpedó játékot lehet játszani.
uhlaci wrote:A time.conf beállításait figyelembe is veszi, hiszen ha egy „régi” felhasználónak átírom a time.conf-ban az időpontjait, megváltozik, hogy mikor léphet be, azaz szerintem a squid „használja” a pam.d/squid-be beírt pam_time.so-ra vonatkozó részt.Ez megint ellentmondás, korábban azt írtad hogy rossz a pam_time modul. Szerintem jól működik és más hiányzik.
uhlaci wrote:Tegnap óta már bennem is motoszkál a kérdés, hogyha a pam.d/squid-ből mindent kitörlök, akkor miért is ugrik fel az azonosítást kérő ablak?Ezért, mert azt mondtad a squid proxy-nak, hogy „acl password proxy_auth; http_access allow password”, azaz használjon azonosítást. Ez független attól, hogy a PAM mit csinál és mit nem. Ha mindezt megelőzi egy másik „http_access” szabály, akkor nem dob fel bejelentkező ablakot, hanem végrehajtja amit tartalmaz (allow vagy deny). Nem is válaszoltál, hogy van-e másik http_access sor.
uhlaci wrote:Szóval: 1. Fogalmam sincs, hogy jól van-e kitöltve, szerintem igen, hiszen a „kívánságaim” szerint működött eddig:(Van az úgy, hogy a látszólagos és a valós működés eltér. Szerintem hiányzik a hitelesítés a PAM konfigból (pl. pam_unix), ezért nem is értem mi dobta vissza a régi felhasználók rossz jelszavát. Abban sem vagyok biztos, hogy az új felhasználók rendesen fel vannak véve a rendszer (helyi) felhasználók közé (csoport, home, /sbin/nologin, shadow rendben). Valami alapvető konfigurációs különbség biztosan van a régi és az új felhasználók között.
uhlaci wrote:3. A naplózással egyenlőre még sáros vagyok.Csak a napló alapján lehet kideríteni egyértelműen, hogy engedi be a PAM a régi felhasználókat, és a újakat miért nem. Egészen addig csak torpedó játékot lehet játszani.
Köszönöm a tanácsaidat gabaman! Szombaton volt egy kis időm , átírtam a samba logolását. A logfájlokban annyi sor lett, és olyan függvényhívásokkal, stb, ami eléggé elriasztott a további próbálkozástól. Végül tegnap újratelepítettem. Most vígan megy a „kívánságaim” szerint. A samba configot csatolom, hátha valaki veszi a fáradságot és hozzáfűz egy-két jótanácsot, akár mások okulására is.
Tudom, hogy több smb.conf is fellelhető mintának az interneten, esetleg ezzel egyel több lesz.
A pam.d/samba tartalma nálam most is a következő, ami tehát működik:
auth required pam_unix.so
account required pam_unix.so
session required pam_unix.so
account required pam_time.soAzaz valamiképpen megfutamodtam a probléma elől, de az érzésem szerint valamilyen programhiba okozhatta a „tüneteket”, mivel változatlan configokkal most jól megy.
Ha valaki ránézne a squid configot is csatolom szívesen, de gondoltam, hogy egyszerre sok lesz az smb.conf-al olvasgatni:)
Mégegyszer köszi a rámszánt időt.Köszönöm a tanácsaidat gabaman! Szombaton volt egy kis időm , átírtam a samba logolását. A logfájlokban annyi sor lett, és olyan függvényhívásokkal, stb, ami eléggé elriasztott a további próbálkozástól. Végül tegnap újratelepítettem. Most vígan megy a „kívánságaim” szerint. A samba configot csatolom, hátha valaki veszi a fáradságot és hozzáfűz egy-két jótanácsot, akár mások okulására is.
Tudom, hogy több smb.conf is fellelhető mintának az interneten, esetleg ezzel egyel több lesz.
A pam.d/samba tartalma nálam most is a következő, ami tehát működik:
auth required pam_unix.so
account required pam_unix.so
session required pam_unix.so
account required pam_time.soAzaz valamiképpen megfutamodtam a probléma elől, de az érzésem szerint valamilyen programhiba okozhatta a „tüneteket”, mivel változatlan configokkal most jól megy.
Ha valaki ránézne a squid configot is csatolom szívesen, de gondoltam, hogy egyszerre sok lesz az smb.conf-al olvasgatni:)
Mégegyszer köszi a rámszánt időt.Sziasztok!
A …… tele van már, de nem találok megoldást.
„Volt” egy gyönyörűen működő DebianEtch op.rendszerem, amin Samba és Squid fut PAM-al authentikálva.
Ami számomra a legfontosabb volt benne, az a time.conf, mivel a munkaadóim azt adták ki, hogy a felhasználók belépését, internetezését időben lehessen korlátozni.
Ma reggel apt-get update, apt-get upgrade, hiszen legyen naprakész egy rendszer.
A frissíthető csomagok között volt néhány PAM kezdetű is.
Azóta az idő szerinti szűrés nem működik.
Ha a pam.d könyvtárban a squid fájljában a pam_time.so-ra vonatkozó részt kikommentezem, akkor minden működik, de itt épp az idő volt a fontos.
Syslogban semmi.
auth.log-ban: Couldn’t get the tty name!
A time.conf-ban egy sor így néz ki nálam, eddig ez jól működött:
squid|samba;*;*1831;itt pedig jönnek az időpontok.
Mi lehet a baj?
Vissza tudom csinálni?
Van más lehetőség az idő szerinti korlátozás beállítására?
A squidben az ACL-ek nem rosszak, de a tartományi belépést is korlátoznom kellene?
Minden ötletet előre is köszönök:
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz