CAEman
-
Постов
49 -
Зарегистрирован
-
Посещение
Никогда
Достижения CAEman
Newbie (1/14)
0
Репутация
-
Решился наконец написать РАМ модуль. #define _XOPEN_SOURCE // Включаем необходимые (хотя и не исключаю, что здесь есть и лишние) заголовочные файлы.#include <security/pam_modules.h>#include <security/pam_appl.h>#include <sys/types.h>#include <pwd.h>#include <stdarg.h>#include <time.h>#include <ldap.h>#include <stdlib.h>#include <stdio.h> #include <stddef.h> #include <unistd.h> #include <sys/wait.h>//Это определит тип нашего модуля#define PAM_SM_AUTH#define MAX_V 30// Реализуем наш алгоритм авторизации.PAM_EXTERN int pam_sm_authenticate(pam_handle_t * pamh, int flags, int argc, const char **argv){ unsigned int ctrl; int retval, result; const char *name; /* получим имя пользователя */ // Получаем имя пользователя // Вся мудрость PAM в том, что приглашение "login: " появится если имя еще не известно, // иначе мы сразу получим ответ, сгенерированный предыдущими модулями. result = pam_get_user(pamh, &name, "login: "); if (!strcmp(name, "root")) { return PAM_SUCCESS; //Делаем игнорирование для root'a } else {/*получим пароль используя диалог*/ struct pam_response *resp;// Сами мы не знаем как будет осущестляться диалог, это забота программы (в нашем случае этим займется login). { struct pam_conv *conv; struct pam_message msg[] = {{ PAM_PROMPT_ECHO_OFF, "Password: " }}; const struct pam_message *mess = msg; retval = pam_get_item( pamh, PAM_CONV, (const void **) &conv ) ; if (!conv->conv) return PAM_SUCCESS; conv->conv(1, &mess, &resp, conv->appdata_ptr); } char * dn = "CN=%s,CN=Users,DC=domain"; char * dnx = malloc(strlen(dn)+strlen(name)+2); int res = 0; sprintf(dnx, dn, name);// Авторизируемся на LDAP сервере по имени LDAPserver путём проверки возможности соединения с ним с введёнными именем и паролем res = ldap_simple_bind_s( ldap_init("LDAPserver.domain", 389), dnx, resp->resp); free(dnx); if (!res) {// В случае удачной авторизацииif (!result)// При отсутствии такого локального пользователя{// СОЗДАЁМ ПОЛЬЗОВАТЕЛЯ // Execute the command using this shell program. #define SHELL "/bin/sh" int my_system (const char *command) { int status; pid_t pid; pid = fork (); if (pid == 0) { // This is the child process. Execute the shell command. execl (SHELL, SHELL, "-c", command, NULL); _exit (EXIT_FAILURE); } else if (pid < 0) // The fork failed. Report failure. status = -1; else // This is the parent process. Wait for the child to complete. if (waitpid (pid, &status, 0) != pid) status = -1; return status; } char stroke[333]; sprintf(stroke,"%s %s %s","/usr/sbin/useradd -p",crypt(resp->resp,"aa"),name); my_system(stroke);// Передаём результат удачной авторизации после создания пользователя return PAM_SUCCESS;}else// Передаём результат удачной авторизации return PAM_SUCCESS; } else return PAM_AUTH_ERR;// Нашим результатом будет да или нет. Как прервать программу разберется основной модуль PAM. }}/* * The only thing _pam_set_credentials_unix() does is initialization of * UNIX group IDs. * * Well, everybody but me on linux-pam is convinced that it should not * initialize group IDs, so I am not doing it but don't say that I haven't * warned you. -- AOY */PAM_EXTERN int pam_sm_setcred(pam_handle_t * pamh, int flags, int argc, const char **argv){ unsigned int ctrl; int retval; retval = PAM_SUCCESS; return retval;}// Это определение необходимо для статической линковки модулей PAM в приложениях.#ifdef PAM_STATICstruct pam_module _pam_unix_auth_modstruct = { "pam_LDAPserver", pam_sm_authenticate, pam_sm_setcred, NULL, NULL, NULL, NULL,};#endif Скомпилировал командой: gcc ./pam_LDAPserver.c -lcrypt -lldap -fPIC --shared -o pam_LDAPserver.so Скопировал pam_LDAPserver.so в /lib64/security Вставил в common-auth перед "auth required pam_unix2.so nullok" строку: auth required pam_LDAPserver.so ВСЁ РАБОТАЕТ (не забываем о "session required pam_mkhomedir.so umask=0022 skel=/etc/skel")! Решился наконец написать РАМ модуль. #define _XOPEN_SOURCE // Включаем необходимые (хотя и не исключаю, что здесь есть и лишние) заголовочные файлы.#include <security/pam_modules.h>#include <security/pam_appl.h>#include <sys/types.h>#include <pwd.h>#include <stdarg.h>#include <time.h>#include <ldap.h>#include <stdlib.h>#include <stdio.h> #include <stddef.h> #include <unistd.h> #include <sys/wait.h>//Это определит тип нашего модуля#define PAM_SM_AUTH#define MAX_V 30// Реализуем наш алгоритм авторизации.PAM_EXTERN int pam_sm_authenticate(pam_handle_t * pamh, int flags, int argc, const char **argv){ unsigned int ctrl; int retval, result; const char *name; /* получим имя пользователя */ // Получаем имя пользователя // Вся мудрость PAM в том, что приглашение "login: " появится если имя еще не известно, // иначе мы сразу получим ответ, сгенерированный предыдущими модулями. result = pam_get_user(pamh, &name, "login: "); if (!strcmp(name, "root")) { return PAM_SUCCESS; //Делаем игнорирование для root'a } else {/*получим пароль используя диалог*/ struct pam_response *resp;// Сами мы не знаем как будет осущестляться диалог, это забота программы (в нашем случае этим займется login). { struct pam_conv *conv; struct pam_message msg[] = {{ PAM_PROMPT_ECHO_OFF, "Password: " }}; const struct pam_message *mess = msg; retval = pam_get_item( pamh, PAM_CONV, (const void **) &conv ); if (!conv->conv) return PAM_SUCCESS; conv->conv(1, &mess, &resp, conv->appdata_ptr); } char * dn = "CN=%s,CN=Users,DC=domain"; char * dnx = malloc(strlen(dn)+strlen(name)+2); int res = 0; sprintf(dnx, dn, name);// Авторизируемся на LDAP сервере по имени LDAPserver путём проверки возможности соединения с ним с введёнными именем и паролем res = ldap_simple_bind_s( ldap_init("LDAPserver.domain", 389), dnx, resp->resp); free(dnx); if (!res) {// В случае удачной авторизацииif (!result)// При отсутствии такого локального пользователя{// СОЗДАЁМ ПОЛЬЗОВАТЕЛЯ // Execute the command using this shell program. #define SHELL "/bin/sh" int my_system (const char *command) { int status; pid_t pid; pid = fork (); if (pid == 0) { // This is the child process. Execute the shell command. execl (SHELL, SHELL, "-c", command, NULL); _exit (EXIT_FAILURE); } else if (pid < 0) // The fork failed. Report failure. status = -1; else // This is the parent process. Wait for the child to complete. if (waitpid (pid, &status, 0) != pid) status = -1; return status; } char stroke[333]; sprintf(stroke,"%s %s %s","/usr/sbin/useradd -p",crypt(resp->resp,"aa"),name); my_system(stroke);// Передаём результат удачной авторизации после создания пользователя return PAM_SUCCESS;}else// Передаём результат удачной авторизации return PAM_SUCCESS; } else return PAM_AUTH_ERR;// Нашим результатом будет да или нет. Как прервать программу разберется основной модуль PAM. }}/* * The only thing _pam_set_credentials_unix() does is initialization of * UNIX group IDs. * * Well, everybody but me on linux-pam is convinced that it should not * initialize group IDs, so I am not doing it but don't say that I haven't * warned you. -- AOY */PAM_EXTERN int pam_sm_setcred(pam_handle_t * pamh, int flags, int argc, const char **argv){ unsigned int ctrl; int retval; retval = PAM_SUCCESS; return retval;}// Это определение необходимо для статической линковки модулей PAM в приложениях.#ifdef PAM_STATICstruct pam_module _pam_unix_auth_modstruct = { "pam_LDAPserver", pam_sm_authenticate, pam_sm_setcred, NULL, NULL, NULL, NULL,};#endif Скомпилировал командой: gcc ./pam_LDAPserver.c -lcrypt -lldap -fPIC --shared -o pam_LDAPserver.so Скопировал pam_LDAPserver.so в /lib64/security Вставил в common-auth перед "auth required pam_unix2.so nullok" строку: auth required pam_LDAPserver.so ВСЁ РАБОТАЕТ (не забываем о "session required pam_mkhomedir.so umask=0022 skel=/etc/skel")! Справился я таки с pam_mount нескольких ресурсов. Правда, только с помощью fstab... Имеем login следующего содержания: " #%PAM-1.0 auth requisite pam_nologin.so auth [user_unknown=ignore success=ok ignore=ignore auth_err=die default=bad] pam_securetty.so auth required pam_mount.so auth include common-auth password include common-password account include common-account session include common-session session required pam_mkhomedir.so umask=0022 skel=/etc/skel session optional pam_mount.so session required pam_loginuid.so session required pam_lastlog.so nowtmp session optional pam_mail.so standard session optional pam_ck_connector.so " Добавляем в начало fstab монтируемые ресурсы: //server/share /home/%(USER)/share cifs noauto,nosuid,nodev,user=%(USER),uid=%(USERUID),gid=%(USERGI D) 0 0 //server/users/%(USER) /home/%(USER)/Documents cifs noauto,nosuid,nodev,user=%(USER),uid=%(USERUID),gid=%(USERGI D) 0 0 Добавляем в pam_mount.conf.xml: <volume path="//server/share" uid="1000-55555" /> <volume path="//server/users/%(USER)" uid="1000-55555" /> Изменяем начало (до %(VOLUME) ) значения lclmount на: mount -t cifs и монтирование (с размонтированием) начинает работать! P.S. Поскольку эта тема, судя по всему, не вызывает больше ни у кого интереса, постольку следить за ней я перестаю. Так что, если она у кого вдруг вызывет интерес, и у него появятся какие-либо вопросы, - советую попробовать создать новую тему.
-
ldapsearch заработал, но когда стал действовать по упомянутому в прошлом сообщении руководству, то получил: " ~ # ldapsearch -x -D CN=user,CN=Users,DC=domain -W "(objectClass=posixAccount)" sAMAccountName Enter LDAP Password: # extended LDIF # # LDAPv3 # base <dc=domain> (default) with scope subtree # filter: (objectClass=posixAccount) # requesting: sAMAccountName # # search result search: 2 result: 0 Success # numResponses: 1 " Это означает, что данный пользователь не может самого себя обнаружить на сервере, или я чего не допонимаю (в указанном руководстве создаётся пользователь на сервере или, вообще, локальный - там не совсем ясно написано)? Зато работает следующее: " ~ # ldapsearch -v -x -D CN=user,CN=Users,DC=domain -W -LLL "(cn=user)" ldap_initialize( <DEFAULT> ) Enter LDAP Password: filter: (cn=user) requesting: All userApplication attributes dn: CN=user,CN=Users,DC=domain objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: user distinguishedName: CN=user,CN=Users,DC=domain instanceType: 4 whenCreated: 20071003134645.0Z whenChanged: 20100212095526.0Z displayName:: 0J/QtdGA0LXQutGA0LXRgdGC0L7QsiDQkNC90LTRgNC10Lkg0J/QtdGC0YDQ vtCy 0LjRhw== uSNCreated: 389673 memberOf: CN=group,CN=Users,DC=domain uSNChanged: 44764302 name: user objectGUID:: TTTD/aBhEE6PxsIlWWxZoA== userAccountControl: 66048 badPwdCount: 0 codePage: 0 countryCode: 0 homeDirectory: \\server\users\personal\user homeDrive: Z: badPasswordTime: 129104512781569552 lastLogoff: 0 lastLogon: 129110472236388768 pwdLastSet: 128880768398237296 primaryGroupID: 513 objectSid:: AQUAAAAAAAUVAAAAVnD5YpbP+W9E8DV3OXwAAA== accountExpires: 0 logonCount: 733 sAMAccountName: user sAMAccountType: 805306368 objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=domain lastLogonTimestamp: 129104421266577456 " И с "(cn=*)" тоже работает с выводом всех пользователей (вернее с, естественно, "Size limit exceeded (4)" в конце). Т.е. простой пользователь с помощью ldap имеет доступ к спискам пользователей AD. Можно это будет как-нибудь использовать для авторизации на сервере с применением введённых имени и пароля и без предварительного создания локального пользователя? Попробовал "$ ssh user@localhost" по совету ранее упомянутого руководства. В результате вновь и вновь выдаётся строка с требованием ввода пароля (пока не прервёшь), а в /var/log/messages записывается следующая информация: " sshd[7005]: nss_ldap: could not search LDAP server - Server is unavailable sshd[7005]: Invalid user user from 127.0.0.1 sshd[7010]: pam_krb5[7010]: default/local realm 'DOMAIN' sshd[7010]: pam_krb5[7010]: configured realm 'DOMAIN' sshd[7010]: pam_krb5[7010]: flag: debug sshd[7010]: pam_krb5[7010]: flags: forwardable not proxiable sshd[7010]: pam_krb5[7010]: flag: no ignore_afs sshd[7010]: pam_krb5[7010]: flag: no null_afs sshd[7010]: pam_krb5[7010]: flag: user_check sshd[7010]: pam_krb5[7010]: flag: no krb4_convert sshd[7010]: pam_krb5[7010]: flag: krb4_convert_524 sshd[7010]: pam_krb5[7010]: flag: krb4_use_as_req sshd[7010]: pam_krb5[7010]: will try previously set password first sshd[7010]: pam_krb5[7010]: will let libkrb5 ask questions sshd[7010]: pam_krb5[7010]: flag: use_shmem sshd[7010]: pam_krb5[7010]: flag: external sshd[7010]: pam_krb5[7010]: flag: warn sshd[7010]: pam_krb5[7010]: ticket lifetime: 43200s (0d,12h,0m,0s) sshd[7010]: pam_krb5[7010]: renewable lifetime: 86400s (1d,0h,0m,0s) sshd[7010]: pam_krb5[7010]: minimum uid: 1 sshd[7010]: pam_krb5[7010]: banner: Kerberos 5 sshd[7010]: pam_krb5[7010]: ccache dir: /tmp sshd[7010]: pam_krb5[7010]: ccname template: FILE:%d/krb5cc_%U_XXXXXX sshd[7010]: pam_krb5[7010]: keytab: FILE:/etc/krb5.keytab sshd[7010]: pam_krb5[7010]: token strategy: v4,524,2b,rxk5 sshd[7010]: pam_krb5[7010]: pam_authenticate called for 'user', realm 'DOMAIN' sshd[7010]: nss_ldap: could not search LDAP server - Server is unavailable sshd[7010]: pam_krb5[7010]: error resolving user name 'user' to uid/gid pair sshd[7010]: pam_krb5[7010]: error getting information about 'user' sshd[7010]: nss_ldap: could not search LDAP server - Server is unavailable " А после ввода пароля добавляется: " sshd[7142]: error: PAM: Authentication failure for illegal user user from localhost sshd[7142]: Failed keyboard-interactive/pam for invalid user user from 127.0.0.1 port 45307 ssh2 sshd[7148]: pam_krb5[7148]: default/local realm 'DOMAIN' sshd[7148]: pam_krb5[7148]: configured realm 'DOMAIN' sshd[7148]: pam_krb5[7148]: flag: debug sshd[7148]: pam_krb5[7148]: flags: forwardable not proxiable sshd[7148]: pam_krb5[7148]: flag: no ignore_afs sshd[7148]: pam_krb5[7148]: flag: no null_afs sshd[7148]: pam_krb5[7148]: flag: user_check sshd[7148]: pam_krb5[7148]: flag: no krb4_convert sshd[7148]: pam_krb5[7148]: flag: krb4_convert_524 sshd[7148]: pam_krb5[7148]: flag: krb4_use_as_req sshd[7148]: pam_krb5[7148]: will try previously set password first sshd[7148]: pam_krb5[7148]: will let libkrb5 ask questions sshd[7148]: pam_krb5[7148]: flag: use_shmem sshd[7148]: pam_krb5[7148]: flag: external sshd[7148]: pam_krb5[7148]: flag: warn sshd[7148]: pam_krb5[7148]: ticket lifetime: 43200s (0d,12h,0m,0s) sshd[7148]: pam_krb5[7148]: renewable lifetime: 86400s (1d,0h,0m,0s) sshd[7148]: pam_krb5[7148]: minimum uid: 1 sshd[7148]: pam_krb5[7148]: banner: Kerberos 5 sshd[7148]: pam_krb5[7148]: ccache dir: /tmp sshd[7148]: pam_krb5[7148]: ccname template: FILE:%d/krb5cc_%U_XXXXXX sshd[7148]: pam_krb5[7148]: keytab: FILE:/etc/krb5.keytab sshd[7148]: pam_krb5[7148]: token strategy: v4,524,2b,rxk5 sshd[7148]: pam_krb5[7148]: pam_authenticate called for 'user', realm 'DOMAIN' sshd[7148]: nss_ldap: could not search LDAP server - Server is unavailable sshd[7148]: pam_krb5[7148]: error resolving user name 'user' to uid/gid pair sshd[7148]: pam_krb5[7148]: error getting information about 'user' sshd[7148]: nss_ldap: could not search LDAP server - Server is unavailable " Почему ldapsearch обнаруживает сервер, a nss_ldap - нет? Может, в какой-нибудь конфигурации следует как-то прописать правильный синтаксис запроса (CN=user,CN=Users,DN=domain)? Если бы сервер был обнаружен, то локальный пользователь, одноимённый серверному, должен был бы создаться?
-
Сумел заставить заработать ldapsearch (нужно cn=user,cn=users,dc=domain - если бы повнимательнее читал http://developer.novell.com/wiki/index.php/HOWTO:_Configure_ Ubuntu_for_Active_Directory_Authentication, то не потерял бы столько времени...). В следующий раз попробую вспомнить всё что там было про авторизацию с помощью LDAP и что-нибудь сделать с его помощью. Если знаете какие моменты с такой авторизацией, на которые следует обратить особое внимание, то напишите, пожалуйста.
-
Т.е. нужно искать файлы, в которых есть: getent passwd getent group ? Кстати, а какую группу вин.сервер может вернуть на запрос Линукса? Я так понимаю, что создаваемые локальные пользователи в рассматриваемом случае должны будут входить в группы, которые я укажу в настройке для вновь создаваемых пользователей. Или я что-то не так понимаю? Я пробежался ранее по содержаниям всех исходников и заподозрил следующие: source4/libnet/libnet_user.c source3/lib/netapi/examples/user/user_add.c source3/lib/netapi/examples/user/user_del.c source4/libnet/userman.c source3/winbindd/winbindd_user.c Если у Вас есть исходники, то ни могли бы Вы их проверить на наличие искомой информации (они небольшие, особенно user_add.c и user_del.c, и если знать, что искать, то разве поиск по схеме "нет"-"может быть" займёт много времени)?
-
Просмотрел я исходник winbind_nss_linux.c. Что-то создание пользователя я там не нашёл... Работа идёт всё время с кэшем. Под конец только "map a uid to a SID string ". Это разве и есть создание пользователя? Прилагаю весь текст исходника (может, я что-то не понял?): /* Unix SMB/CIFS implementation. Windows NT Domain nsswitch module Copyright © Tim Potter 2000 This library is free software; you can redistribute it and/or modify it under the terms of the GNU Lesser General Public License as published by the Free Software Foundation; either version 3 of the License, or (at your option) any later version. This library is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU Library General Public License for more details. You should have received a copy of the GNU Lesser General Public License along with this program. If not, see <http://www.gnu.org/licenses/>.*/#include "winbind_client.h"#if HAVE_PTHREAD_H#include <pthread.h>#endif#if HAVE_PTHREADstatic pthread_mutex_t winbind_nss_mutex = PTHREAD_MUTEX_INITIALIZER;#endif/* Maximum number of users to pass back over the unix domain socket per call. This is not a static limit on the total number of users or groups returned in total. */#define MAX_GETPWENT_USERS 250#define MAX_GETGRENT_USERS 250NSS_STATUS _nss_winbind_setpwent(void);NSS_STATUS _nss_winbind_endpwent(void);NSS_STATUS _nss_winbind_getpwent_r(struct passwd *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getpwuid_r(uid_t uid, struct passwd *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getpwnam_r(const char *name, struct passwd *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_setgrent(void);NSS_STATUS _nss_winbind_endgrent(void);NSS_STATUS _nss_winbind_getgrent_r(struct group *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getgrlst_r(struct group *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getgrnam_r(const char *name, struct group *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getgrgid_r(gid_t gid, struct group *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_initgroups_dyn(char *user, gid_t group, long int *start, long int *size, gid_t **groups, long int limit, int *errnop);NSS_STATUS _nss_winbind_getusersids(const char *user_sid, char **group_sids, int *num_groups, char *buffer, size_t buf_size, int *errnop);NSS_STATUS _nss_winbind_nametosid(const char *name, char **sid, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_sidtoname(const char *sid, char **name, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_sidtouid(const char *sid, uid_t *uid, int *errnop);NSS_STATUS _nss_winbind_sidtogid(const char *sid, gid_t *gid, int *errnop);NSS_STATUS _nss_winbind_uidtosid(uid_t uid, char **sid, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_gidtosid(gid_t gid, char **sid, char *buffer, size_t buflen, int *errnop);/* Prototypes from wb_common.c *//* Allocate some space from the nss static buffer. The buffer and buflen are the pointers passed in by the C library to the _nss_ntdom_* functions. */static char *get_static(char **buffer, size_t *buflen, size_t len){ char *result; /* Error check. We return false if things aren't set up right, or there isn't enough buffer space left. */ if ((buffer == NULL) || (buflen == NULL) || (*buflen < len)) { return NULL; } /* Return an index into the static buffer */ result = *buffer; *buffer += len; *buflen -= len; return result;}/* I've copied the strtok() replacement function next_token_Xalloc() from lib/util_str.c as I really don't want to have to link in any other objects if I can possibly avoid it. */static bool next_token_alloc(const char **ptr, char **pp_buff, const char *sep){ const char *s; const char *saved_s; char *pbuf; bool quoted; size_t len=1; *pp_buff = NULL; if (!ptr) { return(false); } s = *ptr; /* default to simple separators */ if (!sep) { sep = " \t\n\r"; } /* find the first non sep char */ while (*s && strchr(sep,*s)) { s++; } /* nothing left? */ if (!*s) { return false; } /* When restarting we need to go from here. */ saved_s = s; /* Work out the length needed. */ for (quoted = false; *s && (quoted || !strchr(sep,*s)); s++) { if (*s == '\"') { quoted = !quoted; } else { len++; } } /* We started with len = 1 so we have space for the nul. */ *pp_buff = (char *)malloc(len); if (!*pp_buff) { return false; } /* copy over the token */ pbuf = *pp_buff; s = saved_s; for (quoted = false; *s && (quoted || !strchr(sep,*s)); s++) { if ( *s == '\"' ) { quoted = !quoted; } else { *pbuf++ = *s; } } *ptr = (*s) ? s+1 : s; *pbuf = 0; return true;}/* Fill a pwent structure from a winbindd_response structure. We use the static data passed to us by libc to put strings and stuff in. Return NSS_STATUS_TRYAGAIN if we run out of memory. */static NSS_STATUS fill_pwent(struct passwd *result, struct winbindd_pw *pw, char **buffer, size_t *buflen){ /* User name */ if ((result->pw_name = get_static(buffer, buflen, strlen(pw->pw_name) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->pw_name, pw->pw_name); /* Password */ if ((result->pw_passwd = get_static(buffer, buflen, strlen(pw->pw_passwd) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->pw_passwd, pw->pw_passwd); /* [ug]id */ result->pw_uid = pw->pw_uid; result->pw_gid = pw->pw_gid; /* GECOS */ if ((result->pw_gecos = get_static(buffer, buflen, strlen(pw->pw_gecos) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->pw_gecos, pw->pw_gecos); /* Home directory */ if ((result->pw_dir = get_static(buffer, buflen, strlen(pw->pw_dir) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->pw_dir, pw->pw_dir); /* Logon shell */ if ((result->pw_shell = get_static(buffer, buflen, strlen(pw->pw_shell) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->pw_shell, pw->pw_shell); /* The struct passwd for Solaris has some extra fields which must be initialised or nscd crashes. */#if HAVE_PASSWD_PW_COMMENT result->pw_comment = "";#endif#if HAVE_PASSWD_PW_AGE result->pw_age = "";#endif return NSS_STATUS_SUCCESS;}/* Fill a grent structure from a winbindd_response structure. We use the static data passed to us by libc to put strings and stuff in. Return NSS_STATUS_TRYAGAIN if we run out of memory. */static NSS_STATUS fill_grent(struct group *result, struct winbindd_gr *gr, char *gr_mem, char **buffer, size_t *buflen){ char *name; int i; char *tst; /* Group name */ if ((result->gr_name = get_static(buffer, buflen, strlen(gr->gr_name) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->gr_name, gr->gr_name); /* Password */ if ((result->gr_passwd = get_static(buffer, buflen, strlen(gr->gr_passwd) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->gr_passwd, gr->gr_passwd); /* gid */ result->gr_gid = gr->gr_gid; /* Group membership */ if ((gr->num_gr_mem < 0) || !gr_mem) { gr->num_gr_mem = 0; } /* this next value is a pointer to a pointer so let's align it */ /* Calculate number of extra bytes needed to align on pointer size boundry */ if ((i = (unsigned long)(*buffer) % sizeof(char*)) != 0) i = sizeof(char*) - i; if ((tst = get_static(buffer, buflen, ((gr->num_gr_mem + 1) * sizeof(char *)+i))) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } result->gr_mem = (char **)(tst + i); if (gr->num_gr_mem == 0) { /* Group is empty */ *(result->gr_mem) = NULL; return NSS_STATUS_SUCCESS; } /* Start looking at extra data */ i = 0; while(next_token_alloc((const char **)&gr_mem, &name, ",")) { /* Allocate space for member */ if (((result->gr_mem)[i] = get_static(buffer, buflen, strlen(name) + 1)) == NULL) { free(name); /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy((result->gr_mem)[i], name); free(name); i++; } /* Terminate list */ (result->gr_mem)[i] = NULL; return NSS_STATUS_SUCCESS;}/* * NSS user functions */static struct winbindd_response getpwent_response;static int ndx_pw_cache; /* Current index into pwd cache */static int num_pw_cache; /* Current size of pwd cache *//* Rewind "file pointer" to start of ntdom password database */NSS_STATUS_nss_winbind_setpwent(void){ NSS_STATUS ret;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: setpwent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif if (num_pw_cache > 0) { ndx_pw_cache = num_pw_cache = 0; winbindd_free_response(&getpwent_response); } ret = winbindd_request_response(WINBINDD_SETPWENT, NULL, NULL);#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: setpwent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Close ntdom password database "file pointer" */NSS_STATUS_nss_winbind_endpwent(void){ NSS_STATUS ret;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: endpwent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif if (num_pw_cache > 0) { ndx_pw_cache = num_pw_cache = 0; winbindd_free_response(&getpwent_response); } ret = winbindd_request_response(WINBINDD_ENDPWENT, NULL, NULL);#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: endpwent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Fetch the next password entry from ntdom password database */NSS_STATUS_nss_winbind_getpwent_r(struct passwd *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; struct winbindd_request request; static int called_again;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* Return an entry from the cache if we have one, or if we are called again because we exceeded our static buffer. */ if ((ndx_pw_cache < num_pw_cache) || called_again) { goto return_result; } /* Else call winbindd to get a bunch of entries */ if (num_pw_cache > 0) { winbindd_free_response(&getpwent_response); } ZERO_STRUCT(request); ZERO_STRUCT(getpwent_response); request.data.num_entries = MAX_GETPWENT_USERS; ret = winbindd_request_response(WINBINDD_GETPWENT, &request, &getpwent_response); if (ret == NSS_STATUS_SUCCESS) { struct winbindd_pw *pw_cache; /* Fill cache */ ndx_pw_cache = 0; num_pw_cache = getpwent_response.data.num_entries; /* Return a result */ return_result: pw_cache = (struct winbindd_pw *) getpwent_response.extra_data.data; /* Check data is valid */ if (pw_cache == NULL) { ret = NSS_STATUS_NOTFOUND; goto done; } ret = fill_pwent(result, &pw_cache[ndx_pw_cache], &buffer, &buflen); /* Out of memory - try again */ if (ret == NSS_STATUS_TRYAGAIN) { called_again = true; *errnop = errno = ERANGE; goto done; } *errnop = errno = 0; called_again = false; ndx_pw_cache++; /* If we've finished with this lot of results free cache */ if (ndx_pw_cache == num_pw_cache) { ndx_pw_cache = num_pw_cache = 0; winbindd_free_response(&getpwent_response); } } done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Return passwd struct from uid */NSS_STATUS_nss_winbind_getpwuid_r(uid_t uid, struct passwd *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; static struct winbindd_response response; struct winbindd_request request; static int keep_response;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwuid_r %d\n", getpid(), (unsigned int)uid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* If our static buffer needs to be expanded we are called again */ if (!keep_response || uid != response.data.pw.pw_uid) { /* Call for the first time */ ZERO_STRUCT(response); ZERO_STRUCT(request); request.data.uid = uid; ret = winbindd_request_response(WINBINDD_GETPWUID, &request, &response); if (ret == NSS_STATUS_SUCCESS) { ret = fill_pwent(result, &response.data.pw, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } } } else { /* We've been called again */ ret = fill_pwent(result, &response.data.pw, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { *errnop = errno = ERANGE; goto done; } keep_response = false; *errnop = errno = 0; } winbindd_free_response(&response); done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwuid %d returns %s (%d)\n", getpid(), (unsigned int)uid, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Return passwd struct from username */NSS_STATUS_nss_winbind_getpwnam_r(const char *name, struct passwd *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; static struct winbindd_response response; struct winbindd_request request; static int keep_response;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwnam_r %s\n", getpid(), name);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* If our static buffer needs to be expanded we are called again */ if (!keep_response || strcmp(name,response.data.pw.pw_name) != 0) { /* Call for the first time */ ZERO_STRUCT(response); ZERO_STRUCT(request); strncpy(request.data.username, name, sizeof(request.data.username) - 1); request.data.username [sizeof(request.data.username) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_GETPWNAM, &request, &response); if (ret == NSS_STATUS_SUCCESS) { ret = fill_pwent(result, &response.data.pw, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } } } else { /* We've been called again */ ret = fill_pwent(result, &response.data.pw, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } keep_response = false; *errnop = errno = 0; } winbindd_free_response(&response); done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwnam %s returns %s (%d)\n", getpid(), name, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* * NSS group functions */static struct winbindd_response getgrent_response;static int ndx_gr_cache; /* Current index into grp cache */static int num_gr_cache; /* Current size of grp cache *//* Rewind "file pointer" to start of ntdom group database */NSS_STATUS_nss_winbind_setgrent(void){ NSS_STATUS ret;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: setgrent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif if (num_gr_cache > 0) { ndx_gr_cache = num_gr_cache = 0; winbindd_free_response(&getgrent_response); } ret = winbindd_request_response(WINBINDD_SETGRENT, NULL, NULL);#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: setgrent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Close "file pointer" for ntdom group database */NSS_STATUS_nss_winbind_endgrent(void){ NSS_STATUS ret;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: endgrent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif if (num_gr_cache > 0) { ndx_gr_cache = num_gr_cache = 0; winbindd_free_response(&getgrent_response); } ret = winbindd_request_response(WINBINDD_ENDGRENT, NULL, NULL);#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: endgrent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Get next entry from ntdom group database */static NSS_STATUSwinbind_getgrent(enum winbindd_cmd cmd, struct group *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; static struct winbindd_request request; static int called_again;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* Return an entry from the cache if we have one, or if we are called again because we exceeded our static buffer. */ if ((ndx_gr_cache < num_gr_cache) || called_again) { goto return_result; } /* Else call winbindd to get a bunch of entries */ if (num_gr_cache > 0) { winbindd_free_response(&getgrent_response); } ZERO_STRUCT(request); ZERO_STRUCT(getgrent_response); request.data.num_entries = MAX_GETGRENT_USERS; ret = winbindd_request_response(cmd, &request, &getgrent_response); if (ret == NSS_STATUS_SUCCESS) { struct winbindd_gr *gr_cache; int mem_ofs; /* Fill cache */ ndx_gr_cache = 0; num_gr_cache = getgrent_response.data.num_entries; /* Return a result */ return_result: gr_cache = (struct winbindd_gr *) getgrent_response.extra_data.data; /* Check data is valid */ if (gr_cache == NULL) { ret = NSS_STATUS_NOTFOUND; goto done; } /* Fill group membership. The offset into the extra data for the group membership is the reported offset plus the size of all the winbindd_gr records returned. */ mem_ofs = gr_cache[ndx_gr_cache].gr_mem_ofs + num_gr_cache * sizeof(struct winbindd_gr); ret = fill_grent(result, &gr_cache[ndx_gr_cache], ((char *)getgrent_response.extra_data.data)+mem_ofs, &buffer, &buflen); /* Out of memory - try again */ if (ret == NSS_STATUS_TRYAGAIN) { called_again = true; *errnop = errno = ERANGE; goto done; } *errnop = 0; called_again = false; ndx_gr_cache++; /* If we've finished with this lot of results free cache */ if (ndx_gr_cache == num_gr_cache) { ndx_gr_cache = num_gr_cache = 0; winbindd_free_response(&getgrent_response); } } done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}NSS_STATUS_nss_winbind_getgrent_r(struct group *result, char *buffer, size_t buflen, int *errnop){ return winbind_getgrent(WINBINDD_GETGRENT, result, buffer, buflen, errnop);}NSS_STATUS_nss_winbind_getgrlst_r(struct group *result, char *buffer, size_t buflen, int *errnop){ return winbind_getgrent(WINBINDD_GETGRLST, result, buffer, buflen, errnop);}/* Return group struct from group name */NSS_STATUS_nss_winbind_getgrnam_r(const char *name, struct group *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; static struct winbindd_response response; struct winbindd_request request; static int keep_response;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrnam %s\n", getpid(), name);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* If our static buffer needs to be expanded we are called again */ /* Or if the stored response group name differs from the request. */ if (!keep_response || strcmp(name,response.data.gr.gr_name) != 0) { /* Call for the first time */ ZERO_STRUCT(request); ZERO_STRUCT(response); strncpy(request.data.groupname, name, sizeof(request.data.groupname)); request.data.groupname [sizeof(request.data.groupname) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_GETGRNAM, &request, &response); if (ret == NSS_STATUS_SUCCESS) { ret = fill_grent(result, &response.data.gr, (char *)response.extra_data.data, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } } } else { /* We've been called again */ ret = fill_grent(result, &response.data.gr, (char *)response.extra_data.data, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } keep_response = false; *errnop = 0; } winbindd_free_response(&response); done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrnam %s returns %s (%d)\n", getpid(), name, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Return group struct from gid */NSS_STATUS_nss_winbind_getgrgid_r(gid_t gid, struct group *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; static struct winbindd_response response; struct winbindd_request request; static int keep_response;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrgid %d\n", getpid(), gid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* If our static buffer needs to be expanded we are called again */ /* Or if the stored response group name differs from the request. */ if (!keep_response || gid != response.data.gr.gr_gid) { /* Call for the first time */ ZERO_STRUCT(request); ZERO_STRUCT(response); request.data.gid = gid; ret = winbindd_request_response(WINBINDD_GETGRGID, &request, &response); if (ret == NSS_STATUS_SUCCESS) { ret = fill_grent(result, &response.data.gr, (char *)response.extra_data.data, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } } } else { /* We've been called again */ ret = fill_grent(result, &response.data.gr, (char *)response.extra_data.data, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } keep_response = false; *errnop = 0; } winbindd_free_response(&response); done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrgid %d returns %s (%d)\n", getpid(), (unsigned int)gid, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Initialise supplementary groups */NSS_STATUS_nss_winbind_initgroups_dyn(char *user, gid_t group, long int *start, long int *size, gid_t **groups, long int limit, int *errnop){ NSS_STATUS ret; struct winbindd_request request; struct winbindd_response response; int i;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: initgroups %s (%d)\n", getpid(), user, group);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(request); ZERO_STRUCT(response); strncpy(request.data.username, user, sizeof(request.data.username) - 1); ret = winbindd_request_response(WINBINDD_GETGROUPS, &request, &response); if (ret == NSS_STATUS_SUCCESS) { int num_gids = response.data.num_entries; gid_t *gid_list = (gid_t *)response.extra_data.data;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: initgroups %s: got NSS_STATUS_SUCCESS " "and %d gids\n", getpid(), user, num_gids);#endif if (gid_list == NULL) { ret = NSS_STATUS_NOTFOUND; goto done; } /* Copy group list to client */ for (i = 0; i < num_gids; i++) {#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: initgroups %s (%d): " "processing gid %d \n", getpid(), user, group, gid_list[i]);#endif /* Skip primary group */ if (gid_list[i] == group) { continue; } /* Filled buffer ? If so, resize. */ if (*start == *size) { long int newsize; gid_t *newgroups; newsize = 2 * (*size); if (limit > 0) { if (*size == limit) { goto done; } if (newsize > limit) { newsize = limit; } } newgroups = (gid_t *) realloc((*groups), newsize * sizeof(**groups)); if (!newgroups) { *errnop = ENOMEM; ret = NSS_STATUS_NOTFOUND; goto done; } *groups = newgroups; *size = newsize; } /* Add to buffer */ (*groups)[*start] = gid_list[i]; *start += 1; } } /* Back to your regularly scheduled programming */ done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: initgroups %s returns %s (%d)\n", getpid(), user, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* return a list of group SIDs for a user SID */NSS_STATUS_nss_winbind_getusersids(const char *user_sid, char **group_sids, int *num_groups, char *buffer, size_t buf_size, int *errnop){ NSS_STATUS ret; struct winbindd_request request; struct winbindd_response response;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getusersids %s\n", getpid(), user_sid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(request); ZERO_STRUCT(response); strncpy(request.data.sid, user_sid,sizeof(request.data.sid) - 1); request.data.sid[sizeof(request.data.sid) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_GETUSERSIDS, &request, &response); if (ret != NSS_STATUS_SUCCESS) { goto done; } if (buf_size < response.length - sizeof(response)) { ret = NSS_STATUS_TRYAGAIN; errno = *errnop = ERANGE; goto done; } *num_groups = response.data.num_entries; *group_sids = buffer; memcpy(buffer, response.extra_data.data, response.length - sizeof(response)); errno = *errnop = 0; done: winbindd_free_response(&response);#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a user or group name to a SID string */NSS_STATUS_nss_winbind_nametosid(const char *name, char **sid, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: nametosid %s\n", getpid(), name);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(response); ZERO_STRUCT(request); strncpy(request.data.name.name, name, sizeof(request.data.name.name) - 1); request.data.name.name[sizeof(request.data.name.name) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_LOOKUPNAME, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } if (buflen < strlen(response.data.sid.sid)+1) { ret = NSS_STATUS_TRYAGAIN; *errnop = errno = ERANGE; goto failed; } *errnop = errno = 0; *sid = buffer; strcpy(*sid, response.data.sid.sid);failed: winbindd_free_response(&response);#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a sid string to a user or group name */NSS_STATUS_nss_winbind_sidtoname(const char *sid, char **name, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request; static char sep_char; unsigned needed;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: sidtoname %s\n", getpid(), sid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(response); ZERO_STRUCT(request); /* we need to fetch the separator first time through */ if (!sep_char) { ret = winbindd_request_response(WINBINDD_INFO, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } sep_char = response.data.info.winbind_separator; winbindd_free_response(&response); } strncpy(request.data.sid, sid, sizeof(request.data.sid) - 1); request.data.sid[sizeof(request.data.sid) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_LOOKUPSID, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } needed = strlen(response.data.name.dom_name) + strlen(response.data.name.name) + 2; if (buflen < needed) { ret = NSS_STATUS_TRYAGAIN; *errnop = errno = ERANGE; goto failed; } snprintf(buffer, needed, "%s%c%s", response.data.name.dom_name, sep_char, response.data.name.name); *name = buffer; *errnop = errno = 0;failed: winbindd_free_response(&response);#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a sid to a uid */NSS_STATUS_nss_winbind_sidtouid(const char *sid, uid_t *uid, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: sidtouid %s\n", getpid(), sid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(request); ZERO_STRUCT(response); strncpy(request.data.sid, sid, sizeof(request.data.sid) - 1); request.data.sid[sizeof(request.data.sid) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_SID_TO_UID, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } *uid = response.data.uid;failed:#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a sid to a gid */NSS_STATUS_nss_winbind_sidtogid(const char *sid, gid_t *gid, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: sidtogid %s\n", getpid(), sid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(request); ZERO_STRUCT(response); strncpy(request.data.sid, sid, sizeof(request.data.sid) - 1); request.data.sid[sizeof(request.data.sid) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_SID_TO_GID, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } *gid = response.data.gid;failed:#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a uid to a SID string */NSS_STATUS_nss_winbind_uidtosid(uid_t uid, char **sid, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request;#ifdef DEBUG_NSS fprintf(stderr, "[%5u]: uidtosid %u\n", (unsigned int)getpid(), (unsigned int)uid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(response); ZERO_STRUCT(request); request.data.uid = uid; ret = winbindd_request_response(WINBINDD_UID_TO_SID, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } if (buflen < strlen(response.data.sid.sid)+1) { ret = NSS_STATUS_TRYAGAIN; *errnop = errno = ERANGE; goto failed; } *errnop = errno = 0; *sid = buffer; strcpy(*sid, response.data.sid.sid);failed: winbindd_free_response(&response);#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a gid to a SID string */NSS_STATUS_nss_winbind_gidtosid(gid_t gid, char **sid, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request;#ifdef DEBUG_NSS fprintf(stderr, "[%5u]: gidtosid %u\n", (unsigned int)getpid(), (unsigned int)gid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(response); ZERO_STRUCT(request); request.data.gid = gid; ret = winbindd_request_response(WINBINDD_GID_TO_SID, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } if (buflen < strlen(response.data.sid.sid)+1) { ret = NSS_STATUS_TRYAGAIN; *errnop = errno = ERANGE; goto failed; } *errnop = errno = 0; *sid = buffer; strcpy(*sid, response.data.sid.sid);failed: winbindd_free_response(&response);#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}
-
gogi писал(а) Fri, 08 January 2010 18:30 /home можно использовать как локальный (самый простой вариант), так и разделяемый. Не сохранять личные настройки тоже можно, но думаю Вам это не нужно. Так вопрос именно в том, не будут ли при данной схеме авторизации (т.е. с обязательной авторизацией в сети, независимо от наличия локального пользователя со своим профилем) уже существующие профили перезаписываться профилем по умолчанию? Иначе говоря, возможно ли при данной схеме в случае наличия локального пользователя с именем, идентичным введённому, использовать его со своим профилем, а поскольку он будет беспарольным, то просто производить обязательную аутентификацию в сети при помощи кербероса (но при этом, если у него ещё не будет профиля, например, из-за неудачно произведённых ранее аутентификаций, то в случае удачной текущей - производить стандартную первую загрузку с созданием профиля по умолчанию)? Цитата: Даже если они будуть плодиться неограниченно, за время службы комиьютера (не более 100 лет) количества uid будет достаточно ))). Также можно будет написать еще один pam модуль для удаления пользователя, не прошедшего аутентификацию. Количество uid составляет (по крайней мере, по умолчанию) менее 60000. Если производить неправильную авторизацию каждые 6с, то на это уйдёт ~100ч, что в реальности может составить срок порядка года... А в каких исходниках winbind'а можно это найти (ведь, если Вы считаете, что в winbind_nss_linux.c может содержаться нужная для первого создаваемого модуля информация, т.е. создание пользователя, то где-то должно быть и его удаление при неудачной авторизации)? Кстати, нужно чтобы профиль удалялся только в случае отсутствия пользователя с таким именем на сервере, но НЕ ПАРОЛЯ (т.е. при случайной ошибке при вводе пароля профиль бы не удалялся). Такое возможно сделать?
-
С Новым годом! gogi писал(а) Fri, 25 December 2009 21:36 nss выдаст данные пользователя по логину независимо от введенного пароля и даже в том случае, если у него вовсе нет пароля. Если он есть в /etc/passwd, то это сделает системный модуль. Если нет - то ваш создаст пользователя и выдаст данные. Затем начнется проверка пароля модулями pam. Сначала pam_unix сверит хэш пароля с записью в /etc/shadow. При успехе - вход. Иначе pam_krb5 проведет аутентификацию в AD. При успехе - тоже вход. Иначе - отбой. Сетевая аутентификация - это не морока, а один из принципов построения централизованной системы безопасности. Путаница будет, если у пользователя дубликаты паролей в разных местах. Один - в AD + по одному на каждой машине, где он хоть один раз логинился. Здесь и безопасность хромает. Всякий, загрузившийся с флэшки, сможет украсть хэш и подобрать пароль. Значит, если я Вас правильно понимаю, согласно предлагаемой Вами схеме в целях безопасности следует исключить возможность локальной авторизации без сети всех этих создаваемых беспарольных локальных пользователей. В связи с этим у меня возникли следующие вопросы: 1. Будет ли грузиться root (и, кстати, как обеспечивается сохранность его пароля)? 2. Будут ли использоваться локальные профили повторно загружающихся пользователей, или они будут перезаписываться профилем по умолчанию? 3. Неправильно введённые (несуществующие в сети) пользователи будут плодиться неограниченно (вернее, до забивки всех возможных uid с последующей невозможностью загрузки неуспевших локально зарегистрироваться существующих сетевых пользователей)?
-
gogi писал(а) Fri, 25 December 2009 20:26 Я здесь ничего, что могло бы помочь, не нашел. А какая программа могла бы выдать такую информацию? Цитата: системный nss, еще до Вашего, выдаст данные и после этого будет проверен пароль в AD. А какже: "3a. Если юникс пользователь есть в /etc/passwd, nss выдает его данные (uid...) 4а. Вызывется pam_unix для аутентификации." Цитата: Автоматом, конечно, нет. Разве что еще один модуль pam писать для добавления в /etc/shadow хеша пароля. А это нужно? Естественно. Чтобы пользователь в следующий раз уже мог загружаться локально без всей этой мороки...
-
gogi писал(а) Fri, 25 December 2009 17:45 При вызове ldapsearch с ключем -D указывается dn нужной записи вместо uid=user-login,ou=Users,dc=domain. А какой именно - не знаю, смотрите в документации по AD. А следующий вывод на подрубленной к домену виндовой машине ldap.exe при выполнении bind никак не может здесь подсказать: " ld = ldap_open("", 389); Established connection to . Retrieving base DSA information... Result <0>: (null) Matched DNs: Getting 1 entries: >> Dn: 1> currentTime: 12/25/2009 18:24:41 ; 1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=domain; 1> dsServiceName: CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN= Sites,CN=Configuration,DC=domain; 5> namingContexts: DC=domain; CN=Configuration,DC=domain; CN=Schema,CN=Configuration,DC=domain; DC=DomainDnsZones,DC=domain; DC=ForestDnsZones,DC=domain; 1> defaultNamingContext: DC=domain; 1> schemaNamingContext: CN=Schema,CN=Configuration,DC=domain; 1> configurationNamingContext: CN=Configuration,DC=domain; 1> rootDomainNamingContext: DC=domain; 23> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 2.16.840.1.113730.3.4.9; 2.16.840.1.113730.3.4.10; 1.2.840.113556.1.4.1504; 1.2.840.113556.1.4.1852; 1.2.840.113556.1.4.802; 1.2.840.113556.1.4.1907; 1.2.840.113556.1.4.1948; 2> supportedLDAPVersion: 3; 2; 12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; MaxValRange; 1> highestCommittedUSN: 44295516; 4> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5; 1> dnsHostName: server.domain; 1> ldapServiceName: domain:server$@DOMAIN; 1> serverName: CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN= Configuration,DC=domain; 3> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1670; 1.2.840.113556.1.4.1791; 1> isSynchronized: TRUE; 1> isGlobalCatalogReady: TRUE; 1> domainFunctionality: 0; 1> forestFunctionality: 0; 1> domainControllerFunctionality: 2; ----------- res = ldap_bind_s(ld, NULL, &NtAuthIdentity, 1158); // v.3 {NtAuthIdentity: User='user'; Pwd= <unavailable>; domain = domain.} Authenticated as dn:'user'. " Тот же результат и при анонимном подсоединении, только вместо "user" выдаёт "NULL" (методы: SSPI, NTLM). (Выдаёт именно с такой абракадаброй - что-то, видать, с кодировкой не так) Если убрать Synchronous: " Error <-1>: ldap_bind() failed: Ëîêàëüíàÿ îøèáêà " Если же выбрать метод Simple, не убрав пользователя (домен при этом не проставляется), то: с Use auth. identit. - " Error <49>: ldap_simple_bind_s() failed: Íåïðàâèëüíûå ó÷åòíûå äàííûå " без - " Error <52>: ldap_simple_bind_s() failed: Íåò äàííûõ " Если же - SASL или OTHERKIND (домен при этом тоже не проставляется): " Error <7>: ldap_bind_s() failed: Ìåòîä ïðîâåðêè ïîäëèííîñòè íå ïîääåðæèâàåòñÿ. " SICILY, не убрав пользователя (домен при этом не проставляется): " Error <90>: ldap_bind_s() failed: Íåäîñòàòî÷íî ïàìÿòè. " MSN (домен при этом тоже не проставляется): " Error <86>: ldap_bind_s() failed: Ðåçóëüòàò ïðîâåðêè íåèçâåñòåí. " DPA: без введённого пользователя, но " Error <86>: ldap_bind_s() failed: Ðåçóëüòàò ïðîâåðêè íåèçâåñòåí. " без Use auth. identit. - " Error <85>: ldap_bind_s() failed: Òàéìàóò. " с введённым пользователем, но без Use auth. identit. - " Error <90>: ldap_bind_s() failed: Íåäîñòàòî÷íî ïàìÿòè. " DIGEST: подрубается либо с введённым пользователем и с Use auth. identit., либо без и без; с и без - " Error <89>: ldap_bind_s() failed: Îøèáêà â ïàðàìåòðå. " без и с - " Error <82>: ldap_bind_s() failed: Ëîêàëüíàÿ îøèáêà. " Цитата: Cхема, как я понимаю, примерно такая. 1. Пользователь вводит логин и пароль (либо в консоли, либо в DM) 2. Систем проверяет наличие этого пользователя, обратившись к nss и если его нет, то приглашение ввести пароль не выводится. 3a. Если юникс пользователь есть в /etc/passwd, nss выдает его данные (uid...) 3b. Если в /etc/passwd такого логина нет, вызывается Ваш nss модуль, который создает пользователя (либо добавив его в /etc/passwd прямо или через useradd, либо в свою анологичную базу) и также возвращает его данные. 4а. Вызывется pam_unix для аутентификации. 4b. При неудачной аутентификации pam_unix, вызывается pam_krb5 либо анологичный ntlm модуль. 4с. При этой неудачной аутентификации пользователю дается отказ. Вот и все. 2. А в DM сразу вводится и имя, и пароль. 3а-4а. Если есть беспарольный (от неудачной аутентификации) и был введён беспарольный, то он не загрузится? А при удачной pam_krb5 аутентификации локальному пользователю будет добавлен правильный пароль? Цитата: Можно, но мне кажется, лучше напрямую изменять свою отдельную базу пользователей. А она всего одна и будет (других локальных пользователей не будет, не считая стандартного набора).
-
gogi писал(а) Fri, 25 December 2009 14:10 Запись для пользователя uid=user-login,ou=Users,dc=domain используется обычно для учеток в openldap. В AD, может, по другому, вот Вы и не можете подключиться к серверу под этой учеткой. А как может быть по другому, Вы не знаете? Или с данным локальным ПО можно подключиться только, если на АД реализовано именно так и не иначе? Цитата: Можно ли реализовать такую схему, зависит от деталей pam механизма. Если я не забыл, мы с Вами выяснили, что при отсутствии пользователя, пароль модулю pam не передается. Модулю nss он и вовсе не передается. В этой схеме Ваш nss модуль создает пустого пользоватеся, а pam_krb5 (или аналогичный модуль для ntlm) проверяет его пароль. Думаю, лучше начать с этой более простой схемы. Я не совсем понял, начать с какой ЭТОЙ более простой схемы. А то я так понял, что в создаваемый nss модуль нужно просто вбить команду useradd (кстати, на мой вопрос о проверке допустимости имени Вы не знаете ответ, или просто пропустили вопрос?) и всё! Вы бы не могли ЕЁ привести (для всего процесса авторизации и отдельно для создаваемого модуля) конкретно, как она Вам представляется? Цитата: Возможно и использование системных утилит. Но здесь (на достаточно низком уровне) более приемлемо редактировать файлы passwd... или (еще лучше) своего аналогичного по содержанию. kinit, если не писать pam модуль, и вовсе не понадобится. Т.е., если придерживаться принципа "Внесение минимума изменений в систему", то в исходниках разрабатываемого nss модуля можно просто забивать команды useradd, passwd, или я Вас неправильно понял?
-
gogi писал(а) Sat, 19 December 2009 16:33 Начните с $ telnet sever.your-org.ru 389 your-org.ru - это предполагаемое имя вашего домена (отсюда же и dc=ru в прошлом примере). Если сервер ответит, значит он слушает порт 389. Следующим шагом попробуйте связаться с сервером не анонимно на тот случай, что AD не поддерживает анонимных запросов. $ ldapsearch -x -D uid=user-login,ou=People,dc=yuor-org,dc=ru -W Имя контейнера пользователя (-D ...) уточните в документации по AD или посмотрите, подключившись к лдап серверу из венды. Что-то я не совсем понял. Если для винды "domain" (или "your-org" в Вашей редакции) является доменом верхнего уровня, то для Линукса может оказаться по другому? Результаты же таковы: " ~ # telnet server.domain 389 Trying xxx.xxx.x.xxx... Connected to server.domain. Escape character is '^]'. " И через пару минут: "Connection closed by foreign host." С ".ru" же: "telnet: server.domain.ru: Name or service not known" С ldapsearch же результат ничем не отличается от предыдущих: " ~ # ldapsearch -x -D uid=user-login,ou=Users,dc=domain -W Enter LDAP Password: ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece " Цитата: Если этот пользователь имеет локальный пароль, то так и должно быть, иначе пароль будет проверен в AD. ... В предполагаемой схеме у него не будет локального пароля. Пароль будет проверяться в AD. Т.е., как я понял, схема такова: после введения логина и пароля проверяется наличие локального пользователя с таким логином (А МОЖНО ЗДЕСЬ ВВЕСТИ И ПРОВЕРКУ ВВЕДЁННОГО ПОЛЬЗОВАТЕЛЯ НА "ПУСТОТУ", ЧТОБЫ В ТАКОМ СЛУЧАЕ СРАЗУ ЗАВЕРШИТЬ АУТЕНТИФИКАЦИЮ С ОТРИЦАТЕЛЬНЫМ РЕЗУЛЬТАТОМ?) => а) если пользователь существует, то проверяется пароль существующего пользователя - аа) если пароль пустой, то ищется одноимённый пользователь на AD и сверяется его пароль - ааа) если какая-нибудь из проверок завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом; ааб) иначе локальному пользователю присваивается введённый пароль и происходит его первая загрузка; аб) иначе введённый пароль сверяется с паролем локального пользователя - аба) если проверка завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом; абб) иначе происходит загрузка локального пользователя; б) иначе создаётся локальный пользователь одноимённый введённому логину, если он будет допустимым для этого (кстати, ЭТО ПРОВЕРЯЕТСЯ АВТОМАТИЧЕСКИ, ИЛИ ЭТО КАК-ТО НУЖНО БУДЕТ ЗАБИТЬ В ИСХОДНИКЕ?), и ищется одноимённый пользователь на AD и сверяется его пароль - ба) если какая-нибудь из проверок завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом; бб) иначе созданному локальному пользователю присваивается введённый пароль и происходит его первая загрузка. Всё верно? Кстати, если я правильно понял одно из предыдущих Ваших сообщений, то грамотнее вместо "аутентификация" здесь было писать "авторизация", или нет? Цитата: А путём редактирования упомянутого как-то исходника "winbind_nss_linux.c" не проще будет, чем писать с нуля? Наверное, проще, ведь все равно от чего-то стоит исходить. Но в результате получится во много раз меньший кусок кода. В исходниках на С можно использовать команды kinit, useradd, passwd и др.? Как в противном случае можно реализовать текущую схему?
-
gogi писал(а) Fri, 18 December 2009 22:23 Оставьте две строки BASE dc=your-org,dc=ru URI ldap://xxx.xxx.xxx.xxx/ Я, конечно, попробовал сделать, как Вы советуете, но я не понял к чему здесь ",dc=ru". Могу только констатировать, что с этим, что без этого АБСОЛЮТНО идентичный результат: " ~ # ldapsearch -x # extended LDIF # # LDAPv3 # base <dc=domain> (default) with scope subtree # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 1 Operations error text: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this ope ration a successful bind must be completed on the connection., data 0, vece # numResponses: 1 " Кстати, если и domain, и его ip'шник traceroute'ятся нормально с абсолютно одинаковым результатом, то на ldap://.../ выдаёт ошибку. Когда же я включил ЛДАП клиента (это вообще нужно в нашем случае?), то на стандартный вывод стала выдаваться приводимая, кажется, мной уже здесь ошибка поиска сервера, а когда я ещё и закомментировал bind_policy soft, то, как и раньше, Линукс перестал грузиться... Что тут ещё не так может быть с этим ЛДАП? Кстати, на это никак не может повлиять следующий факт: из-за того, что в этом openSUSE почему-то отдельно DHCP4 клиент без DHCP6 клиента не запускается, в результате выдаётя ошибка: "Failed services in runlevel 5: network", но при этом сеть работает, и статус самого этого сервиса и выдаваемых вместе с ним mandatory network interfaces и DHCP4 client'а оказывается "running" (при DHCP6 - "dead")? Цитата: Для этого нужно написать модуль nss, который при запросе создаёт пользователя c нужными uid,gid,home, прописывая его в /etc/passwd (или, если хотите, в своей базе) и возвращает его данные. В /etc/nsswitch.conf для базы passwd указываем passwd: compat ваш_модуль Вот, собственно, и все. Основная проблема - написать модуль nss (они, как и модули pam, традиционно пишутся на C). 1) В этом случае ЛДАП может не работать, а будет использоваться керберос? 2) Возможно ли сделать так, чтобы в случае наличия локального пользователя, идентичного введённому, всё остальное до загрузки пользователя пропускалось бы? 2) Создаваться будет пользователь с введёнными и именем, и паролем (а не беспарольный, как Вы в прошлый раз писали)? 3) А как сделать, чтобы после проверки на АД с отрицательным результатом созданный пользователь удалялся бы? 4) А путём редактирования упомянутого как-то исходника "winbind_nss_linux.c" не проще будет, чем писать с нуля?
-
gogi писал(а) Fri, 11 December 2009 23:31 Я думаю, что у Вас неправильно настроен ldap клиент. Главное - правильно указать адрес сервера (лучше ip) и порт, а также не написать чего лишнего (У Вас, например, присутствуют ненужные строки, касающиеся nss, pam...). Также могут быть особенности, свойственные именно подключению к AD. Приведу ещё раз ldap.conf, но без закоммент. строк (для удобства): " host xxx.xxx.x.xxx server.domain base dc=domain ldap_version 3 # Optional: default is 389. #port 389 bind_policy soft pam_password crypt nss_map_attribute userPassword sambaPassword nss_map_attribute gecos name nss_map_attribute uid unixName nss_map_attribute shadowLastChange pwdLastSet nss_map_objectclass posixGroup group pam_filter objectclass=User sasl_secprops maxssf=0 " Как видите, указан ip адрес; утилита ldp.exe на подключённой к этому домену вин.машине подрубается к нему через порт 389, используемый по умолчанию клиентом, или всё равно нужно разкоммент. соответствующую строку? Все остальные строки были взяты мной из статьи http://developer.novell.com/wiki/index.php/HOWTO:_Configure_ Ubuntu_for_Active_Directory_Authentication. Не могли бы Вы вставить в свой ответ только нужные из этих строки? А особенности, свойственные именно подключению к AD, никак нельзя обнаружить на подключённой к этой АД вин.машине? Цитата: Разве что если Вы будете создавать пользователя без пароля, не проверяя его наличие в АД. А затем pam сверит пароль с АД, и, при несовпадении, не даст войти в систему. Недостаток один - расплодится много пользователей. А как это можно сделать, чтобы после проверки наличия пользователя в системе с отрицательным результатом создавался бы безпарольный одноимённый введённому пользователь, затем происходила бы опять проверка его наличия в системе, потом введённый пароль проверялся бы именно у одноимённого пользователя АД, и при положительном результате этот пароль присваивался бы созданному пользователю с последующей его первой загрузкой, а в случае отрицательного результата - созданный беспарольный пользователь не мог бы загружаться (а лучше - удалялся бы)? Я что-то себе этого даже представить не могу...
-
Т.е., как я понял, без работающего ldap клиента (кстати, у Вас нет никаких предположений насчёт причин и их устранения) заниматься редактированием исходников winbind'а не имеет смысла. Или я ошибаюсь? А kinit же и пароль проверяет (по крайней мере, при получении билета).
-
Так у меня же ldapsearch не работает... Или в winbind_nss забит именно ldapsearch (может, поэтому winbind и мрёт)? А kinit никак нельзя использовать для этой цели?