Jump to content

CAEman

Members
  • Content Count

    49
  • Joined

  • Last visited

    Never

Everything posted by CAEman

  1. Решился наконец написать РАМ модуль. #define _XOPEN_SOURCE // Включаем необходимые (хотя и не исключаю, что здесь есть и лишние) заголовочные файлы.#include <security/pam_modules.h>#include <security/pam_appl.h>#include <sys/types.h>#include <pwd.h>#include <stdarg.h>#include <time.h>#include <ldap.h>#include <stdlib.h>#include <stdio.h> #include <stddef.h> #include <unistd.h> #include <sys/wait.h>//Это определит тип нашего модуля#define PAM_SM_AUTH#define MAX_V 30// Реализуем наш алгоритм авторизации.PAM_EXTERN int pam_sm_authenticate(pam_handle_t * pamh, int flags, int argc, const char **argv){ unsigned int ctrl; int retval, result; const char *name; /* получим имя пользователя */ // Получаем имя пользователя // Вся мудрость PAM в том, что приглашение "login: " появится если имя еще не известно, // иначе мы сразу получим ответ, сгенерированный предыдущими модулями. result = pam_get_user(pamh, &name, "login: "); if (!strcmp(name, "root")) { return PAM_SUCCESS; //Делаем игнорирование для root'a } else {/*получим пароль используя диалог*/ struct pam_response *resp;// Сами мы не знаем как будет осущестляться диалог, это забота программы (в нашем случае этим займется login). { struct pam_conv *conv; struct pam_message msg[] = {{ PAM_PROMPT_ECHO_OFF, "Password: " }}; const struct pam_message *mess = msg; retval = pam_get_item( pamh, PAM_CONV, (const void **) &conv ) ; if (!conv->conv) return PAM_SUCCESS; conv->conv(1, &mess, &resp, conv->appdata_ptr); } char * dn = "CN=%s,CN=Users,DC=domain"; char * dnx = malloc(strlen(dn)+strlen(name)+2); int res = 0; sprintf(dnx, dn, name);// Авторизируемся на LDAP сервере по имени LDAPserver путём проверки возможности соединения с ним с введёнными именем и паролем res = ldap_simple_bind_s( ldap_init("LDAPserver.domain", 389), dnx, resp->resp); free(dnx); if (!res) {// В случае удачной авторизацииif (!result)// При отсутствии такого локального пользователя{// СОЗДАЁМ ПОЛЬЗОВАТЕЛЯ // Execute the command using this shell program. #define SHELL "/bin/sh" int my_system (const char *command) { int status; pid_t pid; pid = fork (); if (pid == 0) { // This is the child process. Execute the shell command. execl (SHELL, SHELL, "-c", command, NULL); _exit (EXIT_FAILURE); } else if (pid < 0) // The fork failed. Report failure. status = -1; else // This is the parent process. Wait for the child to complete. if (waitpid (pid, &status, 0) != pid) status = -1; return status; } char stroke[333]; sprintf(stroke,"%s %s %s","/usr/sbin/useradd -p",crypt(resp->resp,"aa"),name); my_system(stroke);// Передаём результат удачной авторизации после создания пользователя return PAM_SUCCESS;}else// Передаём результат удачной авторизации return PAM_SUCCESS; } else return PAM_AUTH_ERR;// Нашим результатом будет да или нет. Как прервать программу разберется основной модуль PAM. }}/* * The only thing _pam_set_credentials_unix() does is initialization of * UNIX group IDs. * * Well, everybody but me on linux-pam is convinced that it should not * initialize group IDs, so I am not doing it but don't say that I haven't * warned you. -- AOY */PAM_EXTERN int pam_sm_setcred(pam_handle_t * pamh, int flags, int argc, const char **argv){ unsigned int ctrl; int retval; retval = PAM_SUCCESS; return retval;}// Это определение необходимо для статической линковки модулей PAM в приложениях.#ifdef PAM_STATICstruct pam_module _pam_unix_auth_modstruct = { "pam_LDAPserver", pam_sm_authenticate, pam_sm_setcred, NULL, NULL, NULL, NULL,};#endif Скомпилировал командой: gcc ./pam_LDAPserver.c -lcrypt -lldap -fPIC --shared -o pam_LDAPserver.so Скопировал pam_LDAPserver.so в /lib64/security Вставил в common-auth перед "auth required pam_unix2.so nullok" строку: auth required pam_LDAPserver.so ВСЁ РАБОТАЕТ (не забываем о "session required pam_mkhomedir.so umask=0022 skel=/etc/skel")! Решился наконец написать РАМ модуль. #define _XOPEN_SOURCE // Включаем необходимые (хотя и не исключаю, что здесь есть и лишние) заголовочные файлы.#include <security/pam_modules.h>#include <security/pam_appl.h>#include <sys/types.h>#include <pwd.h>#include <stdarg.h>#include <time.h>#include <ldap.h>#include <stdlib.h>#include <stdio.h> #include <stddef.h> #include <unistd.h> #include <sys/wait.h>//Это определит тип нашего модуля#define PAM_SM_AUTH#define MAX_V 30// Реализуем наш алгоритм авторизации.PAM_EXTERN int pam_sm_authenticate(pam_handle_t * pamh, int flags, int argc, const char **argv){ unsigned int ctrl; int retval, result; const char *name; /* получим имя пользователя */ // Получаем имя пользователя // Вся мудрость PAM в том, что приглашение "login: " появится если имя еще не известно, // иначе мы сразу получим ответ, сгенерированный предыдущими модулями. result = pam_get_user(pamh, &name, "login: "); if (!strcmp(name, "root")) { return PAM_SUCCESS; //Делаем игнорирование для root'a } else {/*получим пароль используя диалог*/ struct pam_response *resp;// Сами мы не знаем как будет осущестляться диалог, это забота программы (в нашем случае этим займется login). { struct pam_conv *conv; struct pam_message msg[] = {{ PAM_PROMPT_ECHO_OFF, "Password: " }}; const struct pam_message *mess = msg; retval = pam_get_item( pamh, PAM_CONV, (const void **) &conv ); if (!conv->conv) return PAM_SUCCESS; conv->conv(1, &mess, &resp, conv->appdata_ptr); } char * dn = "CN=%s,CN=Users,DC=domain"; char * dnx = malloc(strlen(dn)+strlen(name)+2); int res = 0; sprintf(dnx, dn, name);// Авторизируемся на LDAP сервере по имени LDAPserver путём проверки возможности соединения с ним с введёнными именем и паролем res = ldap_simple_bind_s( ldap_init("LDAPserver.domain", 389), dnx, resp->resp); free(dnx); if (!res) {// В случае удачной авторизацииif (!result)// При отсутствии такого локального пользователя{// СОЗДАЁМ ПОЛЬЗОВАТЕЛЯ // Execute the command using this shell program. #define SHELL "/bin/sh" int my_system (const char *command) { int status; pid_t pid; pid = fork (); if (pid == 0) { // This is the child process. Execute the shell command. execl (SHELL, SHELL, "-c", command, NULL); _exit (EXIT_FAILURE); } else if (pid < 0) // The fork failed. Report failure. status = -1; else // This is the parent process. Wait for the child to complete. if (waitpid (pid, &status, 0) != pid) status = -1; return status; } char stroke[333]; sprintf(stroke,"%s %s %s","/usr/sbin/useradd -p",crypt(resp->resp,"aa"),name); my_system(stroke);// Передаём результат удачной авторизации после создания пользователя return PAM_SUCCESS;}else// Передаём результат удачной авторизации return PAM_SUCCESS; } else return PAM_AUTH_ERR;// Нашим результатом будет да или нет. Как прервать программу разберется основной модуль PAM. }}/* * The only thing _pam_set_credentials_unix() does is initialization of * UNIX group IDs. * * Well, everybody but me on linux-pam is convinced that it should not * initialize group IDs, so I am not doing it but don't say that I haven't * warned you. -- AOY */PAM_EXTERN int pam_sm_setcred(pam_handle_t * pamh, int flags, int argc, const char **argv){ unsigned int ctrl; int retval; retval = PAM_SUCCESS; return retval;}// Это определение необходимо для статической линковки модулей PAM в приложениях.#ifdef PAM_STATICstruct pam_module _pam_unix_auth_modstruct = { "pam_LDAPserver", pam_sm_authenticate, pam_sm_setcred, NULL, NULL, NULL, NULL,};#endif Скомпилировал командой: gcc ./pam_LDAPserver.c -lcrypt -lldap -fPIC --shared -o pam_LDAPserver.so Скопировал pam_LDAPserver.so в /lib64/security Вставил в common-auth перед "auth required pam_unix2.so nullok" строку: auth required pam_LDAPserver.so ВСЁ РАБОТАЕТ (не забываем о "session required pam_mkhomedir.so umask=0022 skel=/etc/skel")! Справился я таки с pam_mount нескольких ресурсов. Правда, только с помощью fstab... Имеем login следующего содержания: " #%PAM-1.0 auth requisite pam_nologin.so auth [user_unknown=ignore success=ok ignore=ignore auth_err=die default=bad] pam_securetty.so auth required pam_mount.so auth include common-auth password include common-password account include common-account session include common-session session required pam_mkhomedir.so umask=0022 skel=/etc/skel session optional pam_mount.so session required pam_loginuid.so session required pam_lastlog.so nowtmp session optional pam_mail.so standard session optional pam_ck_connector.so " Добавляем в начало fstab монтируемые ресурсы: //server/share /home/%(USER)/share cifs noauto,nosuid,nodev,user=%(USER),uid=%(USERUID),gid=%(USERGI D) 0 0 //server/users/%(USER) /home/%(USER)/Documents cifs noauto,nosuid,nodev,user=%(USER),uid=%(USERUID),gid=%(USERGI D) 0 0 Добавляем в pam_mount.conf.xml: <volume path="//server/share" uid="1000-55555" /> <volume path="//server/users/%(USER)" uid="1000-55555" /> Изменяем начало (до %(VOLUME) ) значения lclmount на: mount -t cifs и монтирование (с размонтированием) начинает работать! P.S. Поскольку эта тема, судя по всему, не вызывает больше ни у кого интереса, постольку следить за ней я перестаю. Так что, если она у кого вдруг вызывет интерес, и у него появятся какие-либо вопросы, - советую попробовать создать новую тему.
  2. ldapsearch заработал, но когда стал действовать по упомянутому в прошлом сообщении руководству, то получил: " ~ # ldapsearch -x -D CN=user,CN=Users,DC=domain -W "(objectClass=posixAccount)" sAMAccountName Enter LDAP Password: # extended LDIF # # LDAPv3 # base <dc=domain> (default) with scope subtree # filter: (objectClass=posixAccount) # requesting: sAMAccountName # # search result search: 2 result: 0 Success # numResponses: 1 " Это означает, что данный пользователь не может самого себя обнаружить на сервере, или я чего не допонимаю (в указанном руководстве создаётся пользователь на сервере или, вообще, локальный - там не совсем ясно написано)? Зато работает следующее: " ~ # ldapsearch -v -x -D CN=user,CN=Users,DC=domain -W -LLL "(cn=user)" ldap_initialize( <DEFAULT> ) Enter LDAP Password: filter: (cn=user) requesting: All userApplication attributes dn: CN=user,CN=Users,DC=domain objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: user distinguishedName: CN=user,CN=Users,DC=domain instanceType: 4 whenCreated: 20071003134645.0Z whenChanged: 20100212095526.0Z displayName:: 0J/QtdGA0LXQutGA0LXRgdGC0L7QsiDQkNC90LTRgNC10Lkg0J/QtdGC0YDQ vtCy 0LjRhw== uSNCreated: 389673 memberOf: CN=group,CN=Users,DC=domain uSNChanged: 44764302 name: user objectGUID:: TTTD/aBhEE6PxsIlWWxZoA== userAccountControl: 66048 badPwdCount: 0 codePage: 0 countryCode: 0 homeDirectory: \\server\users\personal\user homeDrive: Z: badPasswordTime: 129104512781569552 lastLogoff: 0 lastLogon: 129110472236388768 pwdLastSet: 128880768398237296 primaryGroupID: 513 objectSid:: AQUAAAAAAAUVAAAAVnD5YpbP+W9E8DV3OXwAAA== accountExpires: 0 logonCount: 733 sAMAccountName: user sAMAccountType: 805306368 objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=domain lastLogonTimestamp: 129104421266577456 " И с "(cn=*)" тоже работает с выводом всех пользователей (вернее с, естественно, "Size limit exceeded (4)" в конце). Т.е. простой пользователь с помощью ldap имеет доступ к спискам пользователей AD. Можно это будет как-нибудь использовать для авторизации на сервере с применением введённых имени и пароля и без предварительного создания локального пользователя? Попробовал "$ ssh user@localhost" по совету ранее упомянутого руководства. В результате вновь и вновь выдаётся строка с требованием ввода пароля (пока не прервёшь), а в /var/log/messages записывается следующая информация: " sshd[7005]: nss_ldap: could not search LDAP server - Server is unavailable sshd[7005]: Invalid user user from 127.0.0.1 sshd[7010]: pam_krb5[7010]: default/local realm 'DOMAIN' sshd[7010]: pam_krb5[7010]: configured realm 'DOMAIN' sshd[7010]: pam_krb5[7010]: flag: debug sshd[7010]: pam_krb5[7010]: flags: forwardable not proxiable sshd[7010]: pam_krb5[7010]: flag: no ignore_afs sshd[7010]: pam_krb5[7010]: flag: no null_afs sshd[7010]: pam_krb5[7010]: flag: user_check sshd[7010]: pam_krb5[7010]: flag: no krb4_convert sshd[7010]: pam_krb5[7010]: flag: krb4_convert_524 sshd[7010]: pam_krb5[7010]: flag: krb4_use_as_req sshd[7010]: pam_krb5[7010]: will try previously set password first sshd[7010]: pam_krb5[7010]: will let libkrb5 ask questions sshd[7010]: pam_krb5[7010]: flag: use_shmem sshd[7010]: pam_krb5[7010]: flag: external sshd[7010]: pam_krb5[7010]: flag: warn sshd[7010]: pam_krb5[7010]: ticket lifetime: 43200s (0d,12h,0m,0s) sshd[7010]: pam_krb5[7010]: renewable lifetime: 86400s (1d,0h,0m,0s) sshd[7010]: pam_krb5[7010]: minimum uid: 1 sshd[7010]: pam_krb5[7010]: banner: Kerberos 5 sshd[7010]: pam_krb5[7010]: ccache dir: /tmp sshd[7010]: pam_krb5[7010]: ccname template: FILE:%d/krb5cc_%U_XXXXXX sshd[7010]: pam_krb5[7010]: keytab: FILE:/etc/krb5.keytab sshd[7010]: pam_krb5[7010]: token strategy: v4,524,2b,rxk5 sshd[7010]: pam_krb5[7010]: pam_authenticate called for 'user', realm 'DOMAIN' sshd[7010]: nss_ldap: could not search LDAP server - Server is unavailable sshd[7010]: pam_krb5[7010]: error resolving user name 'user' to uid/gid pair sshd[7010]: pam_krb5[7010]: error getting information about 'user' sshd[7010]: nss_ldap: could not search LDAP server - Server is unavailable " А после ввода пароля добавляется: " sshd[7142]: error: PAM: Authentication failure for illegal user user from localhost sshd[7142]: Failed keyboard-interactive/pam for invalid user user from 127.0.0.1 port 45307 ssh2 sshd[7148]: pam_krb5[7148]: default/local realm 'DOMAIN' sshd[7148]: pam_krb5[7148]: configured realm 'DOMAIN' sshd[7148]: pam_krb5[7148]: flag: debug sshd[7148]: pam_krb5[7148]: flags: forwardable not proxiable sshd[7148]: pam_krb5[7148]: flag: no ignore_afs sshd[7148]: pam_krb5[7148]: flag: no null_afs sshd[7148]: pam_krb5[7148]: flag: user_check sshd[7148]: pam_krb5[7148]: flag: no krb4_convert sshd[7148]: pam_krb5[7148]: flag: krb4_convert_524 sshd[7148]: pam_krb5[7148]: flag: krb4_use_as_req sshd[7148]: pam_krb5[7148]: will try previously set password first sshd[7148]: pam_krb5[7148]: will let libkrb5 ask questions sshd[7148]: pam_krb5[7148]: flag: use_shmem sshd[7148]: pam_krb5[7148]: flag: external sshd[7148]: pam_krb5[7148]: flag: warn sshd[7148]: pam_krb5[7148]: ticket lifetime: 43200s (0d,12h,0m,0s) sshd[7148]: pam_krb5[7148]: renewable lifetime: 86400s (1d,0h,0m,0s) sshd[7148]: pam_krb5[7148]: minimum uid: 1 sshd[7148]: pam_krb5[7148]: banner: Kerberos 5 sshd[7148]: pam_krb5[7148]: ccache dir: /tmp sshd[7148]: pam_krb5[7148]: ccname template: FILE:%d/krb5cc_%U_XXXXXX sshd[7148]: pam_krb5[7148]: keytab: FILE:/etc/krb5.keytab sshd[7148]: pam_krb5[7148]: token strategy: v4,524,2b,rxk5 sshd[7148]: pam_krb5[7148]: pam_authenticate called for 'user', realm 'DOMAIN' sshd[7148]: nss_ldap: could not search LDAP server - Server is unavailable sshd[7148]: pam_krb5[7148]: error resolving user name 'user' to uid/gid pair sshd[7148]: pam_krb5[7148]: error getting information about 'user' sshd[7148]: nss_ldap: could not search LDAP server - Server is unavailable " Почему ldapsearch обнаруживает сервер, a nss_ldap - нет? Может, в какой-нибудь конфигурации следует как-то прописать правильный синтаксис запроса (CN=user,CN=Users,DN=domain)? Если бы сервер был обнаружен, то локальный пользователь, одноимённый серверному, должен был бы создаться?
  3. Сумел заставить заработать ldapsearch (нужно cn=user,cn=users,dc=domain - если бы повнимательнее читал http://developer.novell.com/wiki/index.php/HOWTO:_Configure_ Ubuntu_for_Active_Directory_Authentication, то не потерял бы столько времени...). В следующий раз попробую вспомнить всё что там было про авторизацию с помощью LDAP и что-нибудь сделать с его помощью. Если знаете какие моменты с такой авторизацией, на которые следует обратить особое внимание, то напишите, пожалуйста.
  4. Т.е. нужно искать файлы, в которых есть: getent passwd getent group ? Кстати, а какую группу вин.сервер может вернуть на запрос Линукса? Я так понимаю, что создаваемые локальные пользователи в рассматриваемом случае должны будут входить в группы, которые я укажу в настройке для вновь создаваемых пользователей. Или я что-то не так понимаю? Я пробежался ранее по содержаниям всех исходников и заподозрил следующие: source4/libnet/libnet_user.c source3/lib/netapi/examples/user/user_add.c source3/lib/netapi/examples/user/user_del.c source4/libnet/userman.c source3/winbindd/winbindd_user.c Если у Вас есть исходники, то ни могли бы Вы их проверить на наличие искомой информации (они небольшие, особенно user_add.c и user_del.c, и если знать, что искать, то разве поиск по схеме "нет"-"может быть" займёт много времени)?
  5. Просмотрел я исходник winbind_nss_linux.c. Что-то создание пользователя я там не нашёл... Работа идёт всё время с кэшем. Под конец только "map a uid to a SID string ". Это разве и есть создание пользователя? Прилагаю весь текст исходника (может, я что-то не понял?): /* Unix SMB/CIFS implementation. Windows NT Domain nsswitch module Copyright © Tim Potter 2000 This library is free software; you can redistribute it and/or modify it under the terms of the GNU Lesser General Public License as published by the Free Software Foundation; either version 3 of the License, or (at your option) any later version. This library is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU Library General Public License for more details. You should have received a copy of the GNU Lesser General Public License along with this program. If not, see <http://www.gnu.org/licenses/>.*/#include "winbind_client.h"#if HAVE_PTHREAD_H#include <pthread.h>#endif#if HAVE_PTHREADstatic pthread_mutex_t winbind_nss_mutex = PTHREAD_MUTEX_INITIALIZER;#endif/* Maximum number of users to pass back over the unix domain socket per call. This is not a static limit on the total number of users or groups returned in total. */#define MAX_GETPWENT_USERS 250#define MAX_GETGRENT_USERS 250NSS_STATUS _nss_winbind_setpwent(void);NSS_STATUS _nss_winbind_endpwent(void);NSS_STATUS _nss_winbind_getpwent_r(struct passwd *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getpwuid_r(uid_t uid, struct passwd *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getpwnam_r(const char *name, struct passwd *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_setgrent(void);NSS_STATUS _nss_winbind_endgrent(void);NSS_STATUS _nss_winbind_getgrent_r(struct group *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getgrlst_r(struct group *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getgrnam_r(const char *name, struct group *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getgrgid_r(gid_t gid, struct group *result, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_initgroups_dyn(char *user, gid_t group, long int *start, long int *size, gid_t **groups, long int limit, int *errnop);NSS_STATUS _nss_winbind_getusersids(const char *user_sid, char **group_sids, int *num_groups, char *buffer, size_t buf_size, int *errnop);NSS_STATUS _nss_winbind_nametosid(const char *name, char **sid, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_sidtoname(const char *sid, char **name, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_sidtouid(const char *sid, uid_t *uid, int *errnop);NSS_STATUS _nss_winbind_sidtogid(const char *sid, gid_t *gid, int *errnop);NSS_STATUS _nss_winbind_uidtosid(uid_t uid, char **sid, char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_gidtosid(gid_t gid, char **sid, char *buffer, size_t buflen, int *errnop);/* Prototypes from wb_common.c *//* Allocate some space from the nss static buffer. The buffer and buflen are the pointers passed in by the C library to the _nss_ntdom_* functions. */static char *get_static(char **buffer, size_t *buflen, size_t len){ char *result; /* Error check. We return false if things aren't set up right, or there isn't enough buffer space left. */ if ((buffer == NULL) || (buflen == NULL) || (*buflen < len)) { return NULL; } /* Return an index into the static buffer */ result = *buffer; *buffer += len; *buflen -= len; return result;}/* I've copied the strtok() replacement function next_token_Xalloc() from lib/util_str.c as I really don't want to have to link in any other objects if I can possibly avoid it. */static bool next_token_alloc(const char **ptr, char **pp_buff, const char *sep){ const char *s; const char *saved_s; char *pbuf; bool quoted; size_t len=1; *pp_buff = NULL; if (!ptr) { return(false); } s = *ptr; /* default to simple separators */ if (!sep) { sep = " \t\n\r"; } /* find the first non sep char */ while (*s && strchr(sep,*s)) { s++; } /* nothing left? */ if (!*s) { return false; } /* When restarting we need to go from here. */ saved_s = s; /* Work out the length needed. */ for (quoted = false; *s && (quoted || !strchr(sep,*s)); s++) { if (*s == '\"') { quoted = !quoted; } else { len++; } } /* We started with len = 1 so we have space for the nul. */ *pp_buff = (char *)malloc(len); if (!*pp_buff) { return false; } /* copy over the token */ pbuf = *pp_buff; s = saved_s; for (quoted = false; *s && (quoted || !strchr(sep,*s)); s++) { if ( *s == '\"' ) { quoted = !quoted; } else { *pbuf++ = *s; } } *ptr = (*s) ? s+1 : s; *pbuf = 0; return true;}/* Fill a pwent structure from a winbindd_response structure. We use the static data passed to us by libc to put strings and stuff in. Return NSS_STATUS_TRYAGAIN if we run out of memory. */static NSS_STATUS fill_pwent(struct passwd *result, struct winbindd_pw *pw, char **buffer, size_t *buflen){ /* User name */ if ((result->pw_name = get_static(buffer, buflen, strlen(pw->pw_name) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->pw_name, pw->pw_name); /* Password */ if ((result->pw_passwd = get_static(buffer, buflen, strlen(pw->pw_passwd) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->pw_passwd, pw->pw_passwd); /* [ug]id */ result->pw_uid = pw->pw_uid; result->pw_gid = pw->pw_gid; /* GECOS */ if ((result->pw_gecos = get_static(buffer, buflen, strlen(pw->pw_gecos) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->pw_gecos, pw->pw_gecos); /* Home directory */ if ((result->pw_dir = get_static(buffer, buflen, strlen(pw->pw_dir) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->pw_dir, pw->pw_dir); /* Logon shell */ if ((result->pw_shell = get_static(buffer, buflen, strlen(pw->pw_shell) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->pw_shell, pw->pw_shell); /* The struct passwd for Solaris has some extra fields which must be initialised or nscd crashes. */#if HAVE_PASSWD_PW_COMMENT result->pw_comment = "";#endif#if HAVE_PASSWD_PW_AGE result->pw_age = "";#endif return NSS_STATUS_SUCCESS;}/* Fill a grent structure from a winbindd_response structure. We use the static data passed to us by libc to put strings and stuff in. Return NSS_STATUS_TRYAGAIN if we run out of memory. */static NSS_STATUS fill_grent(struct group *result, struct winbindd_gr *gr, char *gr_mem, char **buffer, size_t *buflen){ char *name; int i; char *tst; /* Group name */ if ((result->gr_name = get_static(buffer, buflen, strlen(gr->gr_name) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->gr_name, gr->gr_name); /* Password */ if ((result->gr_passwd = get_static(buffer, buflen, strlen(gr->gr_passwd) + 1)) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy(result->gr_passwd, gr->gr_passwd); /* gid */ result->gr_gid = gr->gr_gid; /* Group membership */ if ((gr->num_gr_mem < 0) || !gr_mem) { gr->num_gr_mem = 0; } /* this next value is a pointer to a pointer so let's align it */ /* Calculate number of extra bytes needed to align on pointer size boundry */ if ((i = (unsigned long)(*buffer) % sizeof(char*)) != 0) i = sizeof(char*) - i; if ((tst = get_static(buffer, buflen, ((gr->num_gr_mem + 1) * sizeof(char *)+i))) == NULL) { /* Out of memory */ return NSS_STATUS_TRYAGAIN; } result->gr_mem = (char **)(tst + i); if (gr->num_gr_mem == 0) { /* Group is empty */ *(result->gr_mem) = NULL; return NSS_STATUS_SUCCESS; } /* Start looking at extra data */ i = 0; while(next_token_alloc((const char **)&gr_mem, &name, ",")) { /* Allocate space for member */ if (((result->gr_mem)[i] = get_static(buffer, buflen, strlen(name) + 1)) == NULL) { free(name); /* Out of memory */ return NSS_STATUS_TRYAGAIN; } strcpy((result->gr_mem)[i], name); free(name); i++; } /* Terminate list */ (result->gr_mem)[i] = NULL; return NSS_STATUS_SUCCESS;}/* * NSS user functions */static struct winbindd_response getpwent_response;static int ndx_pw_cache; /* Current index into pwd cache */static int num_pw_cache; /* Current size of pwd cache *//* Rewind "file pointer" to start of ntdom password database */NSS_STATUS_nss_winbind_setpwent(void){ NSS_STATUS ret;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: setpwent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif if (num_pw_cache > 0) { ndx_pw_cache = num_pw_cache = 0; winbindd_free_response(&getpwent_response); } ret = winbindd_request_response(WINBINDD_SETPWENT, NULL, NULL);#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: setpwent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Close ntdom password database "file pointer" */NSS_STATUS_nss_winbind_endpwent(void){ NSS_STATUS ret;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: endpwent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif if (num_pw_cache > 0) { ndx_pw_cache = num_pw_cache = 0; winbindd_free_response(&getpwent_response); } ret = winbindd_request_response(WINBINDD_ENDPWENT, NULL, NULL);#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: endpwent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Fetch the next password entry from ntdom password database */NSS_STATUS_nss_winbind_getpwent_r(struct passwd *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; struct winbindd_request request; static int called_again;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* Return an entry from the cache if we have one, or if we are called again because we exceeded our static buffer. */ if ((ndx_pw_cache < num_pw_cache) || called_again) { goto return_result; } /* Else call winbindd to get a bunch of entries */ if (num_pw_cache > 0) { winbindd_free_response(&getpwent_response); } ZERO_STRUCT(request); ZERO_STRUCT(getpwent_response); request.data.num_entries = MAX_GETPWENT_USERS; ret = winbindd_request_response(WINBINDD_GETPWENT, &request, &getpwent_response); if (ret == NSS_STATUS_SUCCESS) { struct winbindd_pw *pw_cache; /* Fill cache */ ndx_pw_cache = 0; num_pw_cache = getpwent_response.data.num_entries; /* Return a result */ return_result: pw_cache = (struct winbindd_pw *) getpwent_response.extra_data.data; /* Check data is valid */ if (pw_cache == NULL) { ret = NSS_STATUS_NOTFOUND; goto done; } ret = fill_pwent(result, &pw_cache[ndx_pw_cache], &buffer, &buflen); /* Out of memory - try again */ if (ret == NSS_STATUS_TRYAGAIN) { called_again = true; *errnop = errno = ERANGE; goto done; } *errnop = errno = 0; called_again = false; ndx_pw_cache++; /* If we've finished with this lot of results free cache */ if (ndx_pw_cache == num_pw_cache) { ndx_pw_cache = num_pw_cache = 0; winbindd_free_response(&getpwent_response); } } done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Return passwd struct from uid */NSS_STATUS_nss_winbind_getpwuid_r(uid_t uid, struct passwd *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; static struct winbindd_response response; struct winbindd_request request; static int keep_response;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwuid_r %d\n", getpid(), (unsigned int)uid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* If our static buffer needs to be expanded we are called again */ if (!keep_response || uid != response.data.pw.pw_uid) { /* Call for the first time */ ZERO_STRUCT(response); ZERO_STRUCT(request); request.data.uid = uid; ret = winbindd_request_response(WINBINDD_GETPWUID, &request, &response); if (ret == NSS_STATUS_SUCCESS) { ret = fill_pwent(result, &response.data.pw, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } } } else { /* We've been called again */ ret = fill_pwent(result, &response.data.pw, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { *errnop = errno = ERANGE; goto done; } keep_response = false; *errnop = errno = 0; } winbindd_free_response(&response); done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwuid %d returns %s (%d)\n", getpid(), (unsigned int)uid, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Return passwd struct from username */NSS_STATUS_nss_winbind_getpwnam_r(const char *name, struct passwd *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; static struct winbindd_response response; struct winbindd_request request; static int keep_response;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwnam_r %s\n", getpid(), name);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* If our static buffer needs to be expanded we are called again */ if (!keep_response || strcmp(name,response.data.pw.pw_name) != 0) { /* Call for the first time */ ZERO_STRUCT(response); ZERO_STRUCT(request); strncpy(request.data.username, name, sizeof(request.data.username) - 1); request.data.username [sizeof(request.data.username) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_GETPWNAM, &request, &response); if (ret == NSS_STATUS_SUCCESS) { ret = fill_pwent(result, &response.data.pw, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } } } else { /* We've been called again */ ret = fill_pwent(result, &response.data.pw, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } keep_response = false; *errnop = errno = 0; } winbindd_free_response(&response); done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getpwnam %s returns %s (%d)\n", getpid(), name, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* * NSS group functions */static struct winbindd_response getgrent_response;static int ndx_gr_cache; /* Current index into grp cache */static int num_gr_cache; /* Current size of grp cache *//* Rewind "file pointer" to start of ntdom group database */NSS_STATUS_nss_winbind_setgrent(void){ NSS_STATUS ret;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: setgrent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif if (num_gr_cache > 0) { ndx_gr_cache = num_gr_cache = 0; winbindd_free_response(&getgrent_response); } ret = winbindd_request_response(WINBINDD_SETGRENT, NULL, NULL);#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: setgrent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Close "file pointer" for ntdom group database */NSS_STATUS_nss_winbind_endgrent(void){ NSS_STATUS ret;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: endgrent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif if (num_gr_cache > 0) { ndx_gr_cache = num_gr_cache = 0; winbindd_free_response(&getgrent_response); } ret = winbindd_request_response(WINBINDD_ENDGRENT, NULL, NULL);#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: endgrent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Get next entry from ntdom group database */static NSS_STATUSwinbind_getgrent(enum winbindd_cmd cmd, struct group *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; static struct winbindd_request request; static int called_again;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrent\n", getpid());#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* Return an entry from the cache if we have one, or if we are called again because we exceeded our static buffer. */ if ((ndx_gr_cache < num_gr_cache) || called_again) { goto return_result; } /* Else call winbindd to get a bunch of entries */ if (num_gr_cache > 0) { winbindd_free_response(&getgrent_response); } ZERO_STRUCT(request); ZERO_STRUCT(getgrent_response); request.data.num_entries = MAX_GETGRENT_USERS; ret = winbindd_request_response(cmd, &request, &getgrent_response); if (ret == NSS_STATUS_SUCCESS) { struct winbindd_gr *gr_cache; int mem_ofs; /* Fill cache */ ndx_gr_cache = 0; num_gr_cache = getgrent_response.data.num_entries; /* Return a result */ return_result: gr_cache = (struct winbindd_gr *) getgrent_response.extra_data.data; /* Check data is valid */ if (gr_cache == NULL) { ret = NSS_STATUS_NOTFOUND; goto done; } /* Fill group membership. The offset into the extra data for the group membership is the reported offset plus the size of all the winbindd_gr records returned. */ mem_ofs = gr_cache[ndx_gr_cache].gr_mem_ofs + num_gr_cache * sizeof(struct winbindd_gr); ret = fill_grent(result, &gr_cache[ndx_gr_cache], ((char *)getgrent_response.extra_data.data)+mem_ofs, &buffer, &buflen); /* Out of memory - try again */ if (ret == NSS_STATUS_TRYAGAIN) { called_again = true; *errnop = errno = ERANGE; goto done; } *errnop = 0; called_again = false; ndx_gr_cache++; /* If we've finished with this lot of results free cache */ if (ndx_gr_cache == num_gr_cache) { ndx_gr_cache = num_gr_cache = 0; winbindd_free_response(&getgrent_response); } } done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrent returns %s (%d)\n", getpid(), nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}NSS_STATUS_nss_winbind_getgrent_r(struct group *result, char *buffer, size_t buflen, int *errnop){ return winbind_getgrent(WINBINDD_GETGRENT, result, buffer, buflen, errnop);}NSS_STATUS_nss_winbind_getgrlst_r(struct group *result, char *buffer, size_t buflen, int *errnop){ return winbind_getgrent(WINBINDD_GETGRLST, result, buffer, buflen, errnop);}/* Return group struct from group name */NSS_STATUS_nss_winbind_getgrnam_r(const char *name, struct group *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; static struct winbindd_response response; struct winbindd_request request; static int keep_response;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrnam %s\n", getpid(), name);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* If our static buffer needs to be expanded we are called again */ /* Or if the stored response group name differs from the request. */ if (!keep_response || strcmp(name,response.data.gr.gr_name) != 0) { /* Call for the first time */ ZERO_STRUCT(request); ZERO_STRUCT(response); strncpy(request.data.groupname, name, sizeof(request.data.groupname)); request.data.groupname [sizeof(request.data.groupname) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_GETGRNAM, &request, &response); if (ret == NSS_STATUS_SUCCESS) { ret = fill_grent(result, &response.data.gr, (char *)response.extra_data.data, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } } } else { /* We've been called again */ ret = fill_grent(result, &response.data.gr, (char *)response.extra_data.data, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } keep_response = false; *errnop = 0; } winbindd_free_response(&response); done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrnam %s returns %s (%d)\n", getpid(), name, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Return group struct from gid */NSS_STATUS_nss_winbind_getgrgid_r(gid_t gid, struct group *result, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; static struct winbindd_response response; struct winbindd_request request; static int keep_response;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrgid %d\n", getpid(), gid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif /* If our static buffer needs to be expanded we are called again */ /* Or if the stored response group name differs from the request. */ if (!keep_response || gid != response.data.gr.gr_gid) { /* Call for the first time */ ZERO_STRUCT(request); ZERO_STRUCT(response); request.data.gid = gid; ret = winbindd_request_response(WINBINDD_GETGRGID, &request, &response); if (ret == NSS_STATUS_SUCCESS) { ret = fill_grent(result, &response.data.gr, (char *)response.extra_data.data, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } } } else { /* We've been called again */ ret = fill_grent(result, &response.data.gr, (char *)response.extra_data.data, &buffer, &buflen); if (ret == NSS_STATUS_TRYAGAIN) { keep_response = true; *errnop = errno = ERANGE; goto done; } keep_response = false; *errnop = 0; } winbindd_free_response(&response); done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getgrgid %d returns %s (%d)\n", getpid(), (unsigned int)gid, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* Initialise supplementary groups */NSS_STATUS_nss_winbind_initgroups_dyn(char *user, gid_t group, long int *start, long int *size, gid_t **groups, long int limit, int *errnop){ NSS_STATUS ret; struct winbindd_request request; struct winbindd_response response; int i;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: initgroups %s (%d)\n", getpid(), user, group);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(request); ZERO_STRUCT(response); strncpy(request.data.username, user, sizeof(request.data.username) - 1); ret = winbindd_request_response(WINBINDD_GETGROUPS, &request, &response); if (ret == NSS_STATUS_SUCCESS) { int num_gids = response.data.num_entries; gid_t *gid_list = (gid_t *)response.extra_data.data;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: initgroups %s: got NSS_STATUS_SUCCESS " "and %d gids\n", getpid(), user, num_gids);#endif if (gid_list == NULL) { ret = NSS_STATUS_NOTFOUND; goto done; } /* Copy group list to client */ for (i = 0; i < num_gids; i++) {#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: initgroups %s (%d): " "processing gid %d \n", getpid(), user, group, gid_list[i]);#endif /* Skip primary group */ if (gid_list[i] == group) { continue; } /* Filled buffer ? If so, resize. */ if (*start == *size) { long int newsize; gid_t *newgroups; newsize = 2 * (*size); if (limit > 0) { if (*size == limit) { goto done; } if (newsize > limit) { newsize = limit; } } newgroups = (gid_t *) realloc((*groups), newsize * sizeof(**groups)); if (!newgroups) { *errnop = ENOMEM; ret = NSS_STATUS_NOTFOUND; goto done; } *groups = newgroups; *size = newsize; } /* Add to buffer */ (*groups)[*start] = gid_list[i]; *start += 1; } } /* Back to your regularly scheduled programming */ done:#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: initgroups %s returns %s (%d)\n", getpid(), user, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* return a list of group SIDs for a user SID */NSS_STATUS_nss_winbind_getusersids(const char *user_sid, char **group_sids, int *num_groups, char *buffer, size_t buf_size, int *errnop){ NSS_STATUS ret; struct winbindd_request request; struct winbindd_response response;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: getusersids %s\n", getpid(), user_sid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(request); ZERO_STRUCT(response); strncpy(request.data.sid, user_sid,sizeof(request.data.sid) - 1); request.data.sid[sizeof(request.data.sid) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_GETUSERSIDS, &request, &response); if (ret != NSS_STATUS_SUCCESS) { goto done; } if (buf_size < response.length - sizeof(response)) { ret = NSS_STATUS_TRYAGAIN; errno = *errnop = ERANGE; goto done; } *num_groups = response.data.num_entries; *group_sids = buffer; memcpy(buffer, response.extra_data.data, response.length - sizeof(response)); errno = *errnop = 0; done: winbindd_free_response(&response);#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a user or group name to a SID string */NSS_STATUS_nss_winbind_nametosid(const char *name, char **sid, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: nametosid %s\n", getpid(), name);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(response); ZERO_STRUCT(request); strncpy(request.data.name.name, name, sizeof(request.data.name.name) - 1); request.data.name.name[sizeof(request.data.name.name) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_LOOKUPNAME, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } if (buflen < strlen(response.data.sid.sid)+1) { ret = NSS_STATUS_TRYAGAIN; *errnop = errno = ERANGE; goto failed; } *errnop = errno = 0; *sid = buffer; strcpy(*sid, response.data.sid.sid);failed: winbindd_free_response(&response);#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a sid string to a user or group name */NSS_STATUS_nss_winbind_sidtoname(const char *sid, char **name, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request; static char sep_char; unsigned needed;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: sidtoname %s\n", getpid(), sid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(response); ZERO_STRUCT(request); /* we need to fetch the separator first time through */ if (!sep_char) { ret = winbindd_request_response(WINBINDD_INFO, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } sep_char = response.data.info.winbind_separator; winbindd_free_response(&response); } strncpy(request.data.sid, sid, sizeof(request.data.sid) - 1); request.data.sid[sizeof(request.data.sid) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_LOOKUPSID, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } needed = strlen(response.data.name.dom_name) + strlen(response.data.name.name) + 2; if (buflen < needed) { ret = NSS_STATUS_TRYAGAIN; *errnop = errno = ERANGE; goto failed; } snprintf(buffer, needed, "%s%c%s", response.data.name.dom_name, sep_char, response.data.name.name); *name = buffer; *errnop = errno = 0;failed: winbindd_free_response(&response);#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a sid to a uid */NSS_STATUS_nss_winbind_sidtouid(const char *sid, uid_t *uid, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: sidtouid %s\n", getpid(), sid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(request); ZERO_STRUCT(response); strncpy(request.data.sid, sid, sizeof(request.data.sid) - 1); request.data.sid[sizeof(request.data.sid) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_SID_TO_UID, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } *uid = response.data.uid;failed:#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a sid to a gid */NSS_STATUS_nss_winbind_sidtogid(const char *sid, gid_t *gid, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request;#ifdef DEBUG_NSS fprintf(stderr, "[%5d]: sidtogid %s\n", getpid(), sid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(request); ZERO_STRUCT(response); strncpy(request.data.sid, sid, sizeof(request.data.sid) - 1); request.data.sid[sizeof(request.data.sid) - 1] = '\0'; ret = winbindd_request_response(WINBINDD_SID_TO_GID, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } *gid = response.data.gid;failed:#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a uid to a SID string */NSS_STATUS_nss_winbind_uidtosid(uid_t uid, char **sid, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request;#ifdef DEBUG_NSS fprintf(stderr, "[%5u]: uidtosid %u\n", (unsigned int)getpid(), (unsigned int)uid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(response); ZERO_STRUCT(request); request.data.uid = uid; ret = winbindd_request_response(WINBINDD_UID_TO_SID, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } if (buflen < strlen(response.data.sid.sid)+1) { ret = NSS_STATUS_TRYAGAIN; *errnop = errno = ERANGE; goto failed; } *errnop = errno = 0; *sid = buffer; strcpy(*sid, response.data.sid.sid);failed: winbindd_free_response(&response);#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}/* map a gid to a SID string */NSS_STATUS_nss_winbind_gidtosid(gid_t gid, char **sid, char *buffer, size_t buflen, int *errnop){ NSS_STATUS ret; struct winbindd_response response; struct winbindd_request request;#ifdef DEBUG_NSS fprintf(stderr, "[%5u]: gidtosid %u\n", (unsigned int)getpid(), (unsigned int)gid);#endif#if HAVE_PTHREAD pthread_mutex_lock(&winbind_nss_mutex);#endif ZERO_STRUCT(response); ZERO_STRUCT(request); request.data.gid = gid; ret = winbindd_request_response(WINBINDD_GID_TO_SID, &request, &response); if (ret != NSS_STATUS_SUCCESS) { *errnop = errno = EINVAL; goto failed; } if (buflen < strlen(response.data.sid.sid)+1) { ret = NSS_STATUS_TRYAGAIN; *errnop = errno = ERANGE; goto failed; } *errnop = errno = 0; *sid = buffer; strcpy(*sid, response.data.sid.sid);failed: winbindd_free_response(&response);#if HAVE_PTHREAD pthread_mutex_unlock(&winbind_nss_mutex);#endif return ret;}
  6. gogi писал(а) Fri, 08 January 2010 18:30 /home можно использовать как локальный (самый простой вариант), так и разделяемый. Не сохранять личные настройки тоже можно, но думаю Вам это не нужно. Так вопрос именно в том, не будут ли при данной схеме авторизации (т.е. с обязательной авторизацией в сети, независимо от наличия локального пользователя со своим профилем) уже существующие профили перезаписываться профилем по умолчанию? Иначе говоря, возможно ли при данной схеме в случае наличия локального пользователя с именем, идентичным введённому, использовать его со своим профилем, а поскольку он будет беспарольным, то просто производить обязательную аутентификацию в сети при помощи кербероса (но при этом, если у него ещё не будет профиля, например, из-за неудачно произведённых ранее аутентификаций, то в случае удачной текущей - производить стандартную первую загрузку с созданием профиля по умолчанию)? Цитата: Даже если они будуть плодиться неограниченно, за время службы комиьютера (не более 100 лет) количества uid будет достаточно ))). Также можно будет написать еще один pam модуль для удаления пользователя, не прошедшего аутентификацию. Количество uid составляет (по крайней мере, по умолчанию) менее 60000. Если производить неправильную авторизацию каждые 6с, то на это уйдёт ~100ч, что в реальности может составить срок порядка года... А в каких исходниках winbind'а можно это найти (ведь, если Вы считаете, что в winbind_nss_linux.c может содержаться нужная для первого создаваемого модуля информация, т.е. создание пользователя, то где-то должно быть и его удаление при неудачной авторизации)? Кстати, нужно чтобы профиль удалялся только в случае отсутствия пользователя с таким именем на сервере, но НЕ ПАРОЛЯ (т.е. при случайной ошибке при вводе пароля профиль бы не удалялся). Такое возможно сделать?
  7. С Новым годом! gogi писал(а) Fri, 25 December 2009 21:36 nss выдаст данные пользователя по логину независимо от введенного пароля и даже в том случае, если у него вовсе нет пароля. Если он есть в /etc/passwd, то это сделает системный модуль. Если нет - то ваш создаст пользователя и выдаст данные. Затем начнется проверка пароля модулями pam. Сначала pam_unix сверит хэш пароля с записью в /etc/shadow. При успехе - вход. Иначе pam_krb5 проведет аутентификацию в AD. При успехе - тоже вход. Иначе - отбой. Сетевая аутентификация - это не морока, а один из принципов построения централизованной системы безопасности. Путаница будет, если у пользователя дубликаты паролей в разных местах. Один - в AD + по одному на каждой машине, где он хоть один раз логинился. Здесь и безопасность хромает. Всякий, загрузившийся с флэшки, сможет украсть хэш и подобрать пароль. Значит, если я Вас правильно понимаю, согласно предлагаемой Вами схеме в целях безопасности следует исключить возможность локальной авторизации без сети всех этих создаваемых беспарольных локальных пользователей. В связи с этим у меня возникли следующие вопросы: 1. Будет ли грузиться root (и, кстати, как обеспечивается сохранность его пароля)? 2. Будут ли использоваться локальные профили повторно загружающихся пользователей, или они будут перезаписываться профилем по умолчанию? 3. Неправильно введённые (несуществующие в сети) пользователи будут плодиться неограниченно (вернее, до забивки всех возможных uid с последующей невозможностью загрузки неуспевших локально зарегистрироваться существующих сетевых пользователей)?
  8. gogi писал(а) Fri, 25 December 2009 20:26 Я здесь ничего, что могло бы помочь, не нашел. А какая программа могла бы выдать такую информацию? Цитата: системный nss, еще до Вашего, выдаст данные и после этого будет проверен пароль в AD. А какже: "3a. Если юникс пользователь есть в /etc/passwd, nss выдает его данные (uid...) 4а. Вызывется pam_unix для аутентификации." Цитата: Автоматом, конечно, нет. Разве что еще один модуль pam писать для добавления в /etc/shadow хеша пароля. А это нужно? Естественно. Чтобы пользователь в следующий раз уже мог загружаться локально без всей этой мороки...
  9. gogi писал(а) Fri, 25 December 2009 17:45 При вызове ldapsearch с ключем -D указывается dn нужной записи вместо uid=user-login,ou=Users,dc=domain. А какой именно - не знаю, смотрите в документации по AD. А следующий вывод на подрубленной к домену виндовой машине ldap.exe при выполнении bind никак не может здесь подсказать: " ld = ldap_open("", 389); Established connection to . Retrieving base DSA information... Result <0>: (null) Matched DNs: Getting 1 entries: >> Dn: 1> currentTime: 12/25/2009 18:24:41 ; 1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=domain; 1> dsServiceName: CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN= Sites,CN=Configuration,DC=domain; 5> namingContexts: DC=domain; CN=Configuration,DC=domain; CN=Schema,CN=Configuration,DC=domain; DC=DomainDnsZones,DC=domain; DC=ForestDnsZones,DC=domain; 1> defaultNamingContext: DC=domain; 1> schemaNamingContext: CN=Schema,CN=Configuration,DC=domain; 1> configurationNamingContext: CN=Configuration,DC=domain; 1> rootDomainNamingContext: DC=domain; 23> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 2.16.840.1.113730.3.4.9; 2.16.840.1.113730.3.4.10; 1.2.840.113556.1.4.1504; 1.2.840.113556.1.4.1852; 1.2.840.113556.1.4.802; 1.2.840.113556.1.4.1907; 1.2.840.113556.1.4.1948; 2> supportedLDAPVersion: 3; 2; 12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; MaxValRange; 1> highestCommittedUSN: 44295516; 4> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5; 1> dnsHostName: server.domain; 1> ldapServiceName: domain:server$@DOMAIN; 1> serverName: CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN= Configuration,DC=domain; 3> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1670; 1.2.840.113556.1.4.1791; 1> isSynchronized: TRUE; 1> isGlobalCatalogReady: TRUE; 1> domainFunctionality: 0; 1> forestFunctionality: 0; 1> domainControllerFunctionality: 2; ----------- res = ldap_bind_s(ld, NULL, &NtAuthIdentity, 1158); // v.3 {NtAuthIdentity: User='user'; Pwd= <unavailable>; domain = domain.} Authenticated as dn:'user'. " Тот же результат и при анонимном подсоединении, только вместо "user" выдаёт "NULL" (методы: SSPI, NTLM). (Выдаёт именно с такой абракадаброй - что-то, видать, с кодировкой не так) Если убрать Synchronous: " Error <-1>: ldap_bind() failed: Ëîêàëüíàÿ îøèáêà " Если же выбрать метод Simple, не убрав пользователя (домен при этом не проставляется), то: с Use auth. identit. - " Error <49>: ldap_simple_bind_s() failed: Íåïðàâèëüíûå ó÷åòíûå äàííûå " без - " Error <52>: ldap_simple_bind_s() failed: Íåò äàííûõ " Если же - SASL или OTHERKIND (домен при этом тоже не проставляется): " Error <7>: ldap_bind_s() failed: Ìåòîä ïðîâåðêè ïîäëèííîñòè íå ïîääåðæèâàåòñÿ. " SICILY, не убрав пользователя (домен при этом не проставляется): " Error <90>: ldap_bind_s() failed: Íåäîñòàòî÷íî ïàìÿòè. " MSN (домен при этом тоже не проставляется): " Error <86>: ldap_bind_s() failed: Ðåçóëüòàò ïðîâåðêè íåèçâåñòåí. " DPA: без введённого пользователя, но " Error <86>: ldap_bind_s() failed: Ðåçóëüòàò ïðîâåðêè íåèçâåñòåí. " без Use auth. identit. - " Error <85>: ldap_bind_s() failed: Òàéìàóò. " с введённым пользователем, но без Use auth. identit. - " Error <90>: ldap_bind_s() failed: Íåäîñòàòî÷íî ïàìÿòè. " DIGEST: подрубается либо с введённым пользователем и с Use auth. identit., либо без и без; с и без - " Error <89>: ldap_bind_s() failed: Îøèáêà â ïàðàìåòðå. " без и с - " Error <82>: ldap_bind_s() failed: Ëîêàëüíàÿ îøèáêà. " Цитата: Cхема, как я понимаю, примерно такая. 1. Пользователь вводит логин и пароль (либо в консоли, либо в DM) 2. Систем проверяет наличие этого пользователя, обратившись к nss и если его нет, то приглашение ввести пароль не выводится. 3a. Если юникс пользователь есть в /etc/passwd, nss выдает его данные (uid...) 3b. Если в /etc/passwd такого логина нет, вызывается Ваш nss модуль, который создает пользователя (либо добавив его в /etc/passwd прямо или через useradd, либо в свою анологичную базу) и также возвращает его данные. 4а. Вызывется pam_unix для аутентификации. 4b. При неудачной аутентификации pam_unix, вызывается pam_krb5 либо анологичный ntlm модуль. 4с. При этой неудачной аутентификации пользователю дается отказ. Вот и все. 2. А в DM сразу вводится и имя, и пароль. 3а-4а. Если есть беспарольный (от неудачной аутентификации) и был введён беспарольный, то он не загрузится? А при удачной pam_krb5 аутентификации локальному пользователю будет добавлен правильный пароль? Цитата: Можно, но мне кажется, лучше напрямую изменять свою отдельную базу пользователей. А она всего одна и будет (других локальных пользователей не будет, не считая стандартного набора).
  10. gogi писал(а) Fri, 25 December 2009 14:10 Запись для пользователя uid=user-login,ou=Users,dc=domain используется обычно для учеток в openldap. В AD, может, по другому, вот Вы и не можете подключиться к серверу под этой учеткой. А как может быть по другому, Вы не знаете? Или с данным локальным ПО можно подключиться только, если на АД реализовано именно так и не иначе? Цитата: Можно ли реализовать такую схему, зависит от деталей pam механизма. Если я не забыл, мы с Вами выяснили, что при отсутствии пользователя, пароль модулю pam не передается. Модулю nss он и вовсе не передается. В этой схеме Ваш nss модуль создает пустого пользоватеся, а pam_krb5 (или аналогичный модуль для ntlm) проверяет его пароль. Думаю, лучше начать с этой более простой схемы. Я не совсем понял, начать с какой ЭТОЙ более простой схемы. А то я так понял, что в создаваемый nss модуль нужно просто вбить команду useradd (кстати, на мой вопрос о проверке допустимости имени Вы не знаете ответ, или просто пропустили вопрос?) и всё! Вы бы не могли ЕЁ привести (для всего процесса авторизации и отдельно для создаваемого модуля) конкретно, как она Вам представляется? Цитата: Возможно и использование системных утилит. Но здесь (на достаточно низком уровне) более приемлемо редактировать файлы passwd... или (еще лучше) своего аналогичного по содержанию. kinit, если не писать pam модуль, и вовсе не понадобится. Т.е., если придерживаться принципа "Внесение минимума изменений в систему", то в исходниках разрабатываемого nss модуля можно просто забивать команды useradd, passwd, или я Вас неправильно понял?
  11. gogi писал(а) Sat, 19 December 2009 16:33 Начните с $ telnet sever.your-org.ru 389 your-org.ru - это предполагаемое имя вашего домена (отсюда же и dc=ru в прошлом примере). Если сервер ответит, значит он слушает порт 389. Следующим шагом попробуйте связаться с сервером не анонимно на тот случай, что AD не поддерживает анонимных запросов. $ ldapsearch -x -D uid=user-login,ou=People,dc=yuor-org,dc=ru -W Имя контейнера пользователя (-D ...) уточните в документации по AD или посмотрите, подключившись к лдап серверу из венды. Что-то я не совсем понял. Если для винды "domain" (или "your-org" в Вашей редакции) является доменом верхнего уровня, то для Линукса может оказаться по другому? Результаты же таковы: " ~ # telnet server.domain 389 Trying xxx.xxx.x.xxx... Connected to server.domain. Escape character is '^]'. " И через пару минут: "Connection closed by foreign host." С ".ru" же: "telnet: server.domain.ru: Name or service not known" С ldapsearch же результат ничем не отличается от предыдущих: " ~ # ldapsearch -x -D uid=user-login,ou=Users,dc=domain -W Enter LDAP Password: ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece " Цитата: Если этот пользователь имеет локальный пароль, то так и должно быть, иначе пароль будет проверен в AD. ... В предполагаемой схеме у него не будет локального пароля. Пароль будет проверяться в AD. Т.е., как я понял, схема такова: после введения логина и пароля проверяется наличие локального пользователя с таким логином (А МОЖНО ЗДЕСЬ ВВЕСТИ И ПРОВЕРКУ ВВЕДЁННОГО ПОЛЬЗОВАТЕЛЯ НА "ПУСТОТУ", ЧТОБЫ В ТАКОМ СЛУЧАЕ СРАЗУ ЗАВЕРШИТЬ АУТЕНТИФИКАЦИЮ С ОТРИЦАТЕЛЬНЫМ РЕЗУЛЬТАТОМ?) => а) если пользователь существует, то проверяется пароль существующего пользователя - аа) если пароль пустой, то ищется одноимённый пользователь на AD и сверяется его пароль - ааа) если какая-нибудь из проверок завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом; ааб) иначе локальному пользователю присваивается введённый пароль и происходит его первая загрузка; аб) иначе введённый пароль сверяется с паролем локального пользователя - аба) если проверка завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом; абб) иначе происходит загрузка локального пользователя; б) иначе создаётся локальный пользователь одноимённый введённому логину, если он будет допустимым для этого (кстати, ЭТО ПРОВЕРЯЕТСЯ АВТОМАТИЧЕСКИ, ИЛИ ЭТО КАК-ТО НУЖНО БУДЕТ ЗАБИТЬ В ИСХОДНИКЕ?), и ищется одноимённый пользователь на AD и сверяется его пароль - ба) если какая-нибудь из проверок завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом; бб) иначе созданному локальному пользователю присваивается введённый пароль и происходит его первая загрузка. Всё верно? Кстати, если я правильно понял одно из предыдущих Ваших сообщений, то грамотнее вместо "аутентификация" здесь было писать "авторизация", или нет? Цитата: А путём редактирования упомянутого как-то исходника "winbind_nss_linux.c" не проще будет, чем писать с нуля? Наверное, проще, ведь все равно от чего-то стоит исходить. Но в результате получится во много раз меньший кусок кода. В исходниках на С можно использовать команды kinit, useradd, passwd и др.? Как в противном случае можно реализовать текущую схему?
  12. gogi писал(а) Fri, 18 December 2009 22:23 Оставьте две строки BASE dc=your-org,dc=ru URI ldap://xxx.xxx.xxx.xxx/ Я, конечно, попробовал сделать, как Вы советуете, но я не понял к чему здесь ",dc=ru". Могу только констатировать, что с этим, что без этого АБСОЛЮТНО идентичный результат: " ~ # ldapsearch -x # extended LDIF # # LDAPv3 # base <dc=domain> (default) with scope subtree # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 1 Operations error text: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this ope ration a successful bind must be completed on the connection., data 0, vece # numResponses: 1 " Кстати, если и domain, и его ip'шник traceroute'ятся нормально с абсолютно одинаковым результатом, то на ldap://.../ выдаёт ошибку. Когда же я включил ЛДАП клиента (это вообще нужно в нашем случае?), то на стандартный вывод стала выдаваться приводимая, кажется, мной уже здесь ошибка поиска сервера, а когда я ещё и закомментировал bind_policy soft, то, как и раньше, Линукс перестал грузиться... Что тут ещё не так может быть с этим ЛДАП? Кстати, на это никак не может повлиять следующий факт: из-за того, что в этом openSUSE почему-то отдельно DHCP4 клиент без DHCP6 клиента не запускается, в результате выдаётя ошибка: "Failed services in runlevel 5: network", но при этом сеть работает, и статус самого этого сервиса и выдаваемых вместе с ним mandatory network interfaces и DHCP4 client'а оказывается "running" (при DHCP6 - "dead")? Цитата: Для этого нужно написать модуль nss, который при запросе создаёт пользователя c нужными uid,gid,home, прописывая его в /etc/passwd (или, если хотите, в своей базе) и возвращает его данные. В /etc/nsswitch.conf для базы passwd указываем passwd: compat ваш_модуль Вот, собственно, и все. Основная проблема - написать модуль nss (они, как и модули pam, традиционно пишутся на C). 1) В этом случае ЛДАП может не работать, а будет использоваться керберос? 2) Возможно ли сделать так, чтобы в случае наличия локального пользователя, идентичного введённому, всё остальное до загрузки пользователя пропускалось бы? 2) Создаваться будет пользователь с введёнными и именем, и паролем (а не беспарольный, как Вы в прошлый раз писали)? 3) А как сделать, чтобы после проверки на АД с отрицательным результатом созданный пользователь удалялся бы? 4) А путём редактирования упомянутого как-то исходника "winbind_nss_linux.c" не проще будет, чем писать с нуля?
  13. gogi писал(а) Fri, 11 December 2009 23:31 Я думаю, что у Вас неправильно настроен ldap клиент. Главное - правильно указать адрес сервера (лучше ip) и порт, а также не написать чего лишнего (У Вас, например, присутствуют ненужные строки, касающиеся nss, pam...). Также могут быть особенности, свойственные именно подключению к AD. Приведу ещё раз ldap.conf, но без закоммент. строк (для удобства): " host xxx.xxx.x.xxx server.domain base dc=domain ldap_version 3 # Optional: default is 389. #port 389 bind_policy soft pam_password crypt nss_map_attribute userPassword sambaPassword nss_map_attribute gecos name nss_map_attribute uid unixName nss_map_attribute shadowLastChange pwdLastSet nss_map_objectclass posixGroup group pam_filter objectclass=User sasl_secprops maxssf=0 " Как видите, указан ip адрес; утилита ldp.exe на подключённой к этому домену вин.машине подрубается к нему через порт 389, используемый по умолчанию клиентом, или всё равно нужно разкоммент. соответствующую строку? Все остальные строки были взяты мной из статьи http://developer.novell.com/wiki/index.php/HOWTO:_Configure_ Ubuntu_for_Active_Directory_Authentication. Не могли бы Вы вставить в свой ответ только нужные из этих строки? А особенности, свойственные именно подключению к AD, никак нельзя обнаружить на подключённой к этой АД вин.машине? Цитата: Разве что если Вы будете создавать пользователя без пароля, не проверяя его наличие в АД. А затем pam сверит пароль с АД, и, при несовпадении, не даст войти в систему. Недостаток один - расплодится много пользователей. А как это можно сделать, чтобы после проверки наличия пользователя в системе с отрицательным результатом создавался бы безпарольный одноимённый введённому пользователь, затем происходила бы опять проверка его наличия в системе, потом введённый пароль проверялся бы именно у одноимённого пользователя АД, и при положительном результате этот пароль присваивался бы созданному пользователю с последующей его первой загрузкой, а в случае отрицательного результата - созданный беспарольный пользователь не мог бы загружаться (а лучше - удалялся бы)? Я что-то себе этого даже представить не могу...
  14. Т.е., как я понял, без работающего ldap клиента (кстати, у Вас нет никаких предположений насчёт причин и их устранения) заниматься редактированием исходников winbind'а не имеет смысла. Или я ошибаюсь? А kinit же и пароль проверяет (по крайней мере, при получении билета).
  15. Так у меня же ldapsearch не работает... Или в winbind_nss забит именно ldapsearch (может, поэтому winbind и мрёт)? А kinit никак нельзя использовать для этой цели?
  16. gogi писал(а) Fri, 04 December 2009 19:24 Да. Или подыскать для nss модуль, подобный тому, что Вы нашли для pam. Если доступ к рессурсам предполагается через mount.cifs, то ни winbind, ни smb.conf вовсе не нужны. Нужен будет nss модуль, написанный "по мотивам" nss_winbind. Так значит мне нужно начинать пробовать редактировать исходники с "winbind_nss_linux.c" а не "Смотреть в первую очередь надо pam_winbind.c", как Вы мне советовали ранее. Или я опять что-то не так понимаю?
  17. Насколько я помню, это уже пройденный этап. Но раз уж Вы попросили... Изменил в nsswitch.conf на: " passwd: files winbind group: files winbind shadow: files winbind " Далее: " # getent passwd ais:x:39:100:openais Standards Based Cluster Framework:/:/bin/false at:x:25:25:Batch jobs daemon:/var/spool/atjobs:/bin/bash avahi:x:102:104:User for Avahi:/var/run/avahi-daemon:/bin/false beagleindex:x:108:111:User for Beagle indexing:/var/cache/beagle:/bin/bash bin:x:1:1:bin:/bin:/bin/bash daemon:x:2:2:Daemon:/sbin:/bin/bash dnsmasq:x:106:65534:dnsmasq:/var/lib/empty:/bin/false ftp:x:40:49:FTP account:/srv/ftp:/bin/bash games:x:12:100:Games account:/var/games:/bin/bash gnats:x:34:65534:GNATS GNU Backtracking System:/usr/lib/gnats:/bin/bash haldaemon:x:104:106:User for haldaemon:/var/run/hald:/bin/false icecream:x:110:114:Icecream Daemon:/var/cache/icecream:/bin/false lp:x:4:7:Printing daemon:/var/spool/lpd:/bin/bash mail:x:8:12:Mailer daemon:/var/spool/clientmqueue:/bin/false man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash messagebus:x:101:103:User for D-Bus:/var/run/dbus:/bin/false nagios:x:109:112:User for Nagios:/var/tmp:/bin/false news:x:9:13:News system:/etc/news:/bin/bash nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/bash ntp:x:74:101:NTP daemon:/var/lib/ntp:/bin/false oprofile:x:111:115:Special user account to be used by OProfile:/var/lib/empty:/bin/false polkituser:x:103:105:PolicyKit:/var/run/PolicyKit:/bin/false postfix:x:51:51:Postfix Daemon:/var/spool/postfix:/bin/false pulse:x:107:108:PulseAudio daemon:/var/lib/pulseaudio:/sbin/nologin root:x:0:0:root:/root:/bin/bash sshd:x:71:65:SSH daemon:/var/lib/sshd:/bin/false suse-ncc:x:105:107:Novell Customer Center User:/var/lib/YaST2/suse-ncc-fakehome:/bin/bash tss:x:98:98:TSS daemon:/var/lib/tpm:/bin/false uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash uuidd:x:100:102:User for uuidd:/var/run/uuidd:/bin/false wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false dhcpd:x:112:65534:DHCP server daemon:/var/lib/dhcp:/bin/false wnn:x:66:1:Wnn System Account:/var/lib/wnn:/bin/false named:x:44:44:Name server daemon:/var/lib/named:/bin/false cyrus:x:96:12:User for cyrus-imapd:/usr/lib/cyrus:/bin/bash squid:x:31:65534:WWW-proxy squid:/var/cache/squid:/bin/false ldap:x:76:70:User for OpenLDAP:/var/lib/ldap:/bin/bash ftpsecure:x:113:65534:Secure FTP User:/var/lib/empty:/bin/false privoxy:x:114:116:Daemon user for privoxy:/var/lib/privoxy:/bin/false quagga:x:115:117:Quagga routing daemon:/var/run/quagga:/usr/bin/false festival:x:116:118:Festival daemon:/usr/share/festival/:/bin/false dovecot:x:117:119:User for Dovecot imapd:/var/run/dovecot:/bin/false vdr:x:118:33:Video Disk Recorder:/var/spool/video:/bin/false vscan:x:65:120:Vscan account:/var/spool/amavis:/bin/false mysql:x:60:121:MySQL database admin:/var/lib/mysql:/bin/false mailman:x:72:67:GNU mailing list manager:/var/lib/mailman:/bin/bash postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash fetchmail:x:119:2:mail retrieval daemon:/var/lib/fetchmail:/bin/false fax:x:33:14:Facsimile agent:/var/spool/fax:/bin/bash gdm:x:120:124:Gnome Display Manager daemon:/var/lib/gdm:/bin/false tomcat:x:121:125:Apache Tomcat:/usr/share/tomcat6:/bin/sh +::0:0::: " Затем: " # service winbind start Starting Samba WINBIND daemon done # service winbind status Checking for Samba WINBIND daemon dead " И напоследок: " # getent passwd ais:x:39:100:openais Standards Based Cluster Framework:/:/bin/false at:x:25:25:Batch jobs daemon:/var/spool/atjobs:/bin/bash avahi:x:102:104:User for Avahi:/var/run/avahi-daemon:/bin/false beagleindex:x:108:111:User for Beagle indexing:/var/cache/beagle:/bin/bash bin:x:1:1:bin:/bin:/bin/bash daemon:x:2:2:Daemon:/sbin:/bin/bash dnsmasq:x:106:65534:dnsmasq:/var/lib/empty:/bin/false ftp:x:40:49:FTP account:/srv/ftp:/bin/bash games:x:12:100:Games account:/var/games:/bin/bash gnats:x:34:65534:GNATS GNU Backtracking System:/usr/lib/gnats:/bin/bash haldaemon:x:104:106:User for haldaemon:/var/run/hald:/bin/false icecream:x:110:114:Icecream Daemon:/var/cache/icecream:/bin/false lp:x:4:7:Printing daemon:/var/spool/lpd:/bin/bash mail:x:8:12:Mailer daemon:/var/spool/clientmqueue:/bin/false man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash messagebus:x:101:103:User for D-Bus:/var/run/dbus:/bin/false nagios:x:109:112:User for Nagios:/var/tmp:/bin/false news:x:9:13:News system:/etc/news:/bin/bash nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/bash ntp:x:74:101:NTP daemon:/var/lib/ntp:/bin/false oprofile:x:111:115:Special user account to be used by OProfile:/var/lib/empty:/bin/false polkituser:x:103:105:PolicyKit:/var/run/PolicyKit:/bin/false postfix:x:51:51:Postfix Daemon:/var/spool/postfix:/bin/false pulse:x:107:108:PulseAudio daemon:/var/lib/pulseaudio:/sbin/nologin root:x:0:0:root:/root:/bin/bash sshd:x:71:65:SSH daemon:/var/lib/sshd:/bin/false suse-ncc:x:105:107:Novell Customer Center User:/var/lib/YaST2/suse-ncc-fakehome:/bin/bash tss:x:98:98:TSS daemon:/var/lib/tpm:/bin/false uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash uuidd:x:100:102:User for uuidd:/var/run/uuidd:/bin/false wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false dhcpd:x:112:65534:DHCP server daemon:/var/lib/dhcp:/bin/false wnn:x:66:1:Wnn System Account:/var/lib/wnn:/bin/false named:x:44:44:Name server daemon:/var/lib/named:/bin/false cyrus:x:96:12:User for cyrus-imapd:/usr/lib/cyrus:/bin/bash squid:x:31:65534:WWW-proxy squid:/var/cache/squid:/bin/false ldap:x:76:70:User for OpenLDAP:/var/lib/ldap:/bin/bash ftpsecure:x:113:65534:Secure FTP User:/var/lib/empty:/bin/false privoxy:x:114:116:Daemon user for privoxy:/var/lib/privoxy:/bin/false quagga:x:115:117:Quagga routing daemon:/var/run/quagga:/usr/bin/false festival:x:116:118:Festival daemon:/usr/share/festival/:/bin/false dovecot:x:117:119:User for Dovecot imapd:/var/run/dovecot:/bin/false vdr:x:118:33:Video Disk Recorder:/var/spool/video:/bin/false vscan:x:65:120:Vscan account:/var/spool/amavis:/bin/false mysql:x:60:121:MySQL database admin:/var/lib/mysql:/bin/false mailman:x:72:67:GNU mailing list manager:/var/lib/mailman:/bin/bash postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash fetchmail:x:119:2:mail retrieval daemon:/var/lib/fetchmail:/bin/false fax:x:33:14:Facsimile agent:/var/spool/fax:/bin/bash gdm:x:120:124:Gnome Display Manager daemon:/var/lib/gdm:/bin/false tomcat:x:121:125:Apache Tomcat:/usr/share/tomcat6:/bin/sh +::0:0::: " Таким образом, остаётся только редактирование исходников winbind'a (чтобы, для начала, при security=ADS хотя бы не умирал, или здесь тогда должно будет быть не ADS?). Или я что-то ещё упустил?
  18. А нельзя ли на шелле переделать исходники этого модуля так, чтобы после запроса таинственного вопрошателя системы, если упомянутый Вами модуль говорит не ОК, то запрос передался бы на сервер (через, например, kinit или что в этом случае можно использовать в данной ситуации), и в случае возврата ОК создавался бы в системе пользователь с именем и паролем, содержащимися в запросе, (через, например, useradd, passwd или что в этом случае можно использовать в данной ситуации), и модуль бы ответил, что пользователь есть в системе, вот его uid, gid... (надеюсь, что система дальше сможет сама определить, что это новый пользователь, и загрузить его должным образом...).
  19. Хорошо. Это то, что этот модуль делает не так, как нужно для решения поставленной задачи. А что он вообще делает из того, что могло бы облегчить это решение с его помощью по сравнению с редактированием исходников winbind'a?
  20. А каким образом? Его описание: "when using pam_script with pam "auth", in any script that pam-script runs, where the username doesn't exist on the machine, the PAM_AUTHTOK env variable is set to: "\x08\n\r\x7fINCORRECT" instead of the password the user typed (even though their username doesn't exist in /etc/passwd) if the username does exist, then pam_script returns the correct password," - я понял, как взлом имеющегося пользователя, если неизвестен его пароль, или замена введённого пароля несуществующего пользователя на какой-то системный, что-ли? Если я чего не так понял, то объясните, пожалуйста, что здесь имеется в виду. Т.е. что конкретно делает этот модуль?
  21. Цитата: Цитата: и уточнить: "припишем в сценарий аутентификации" заключается в замене pam_unix2 на него, или просто в его добавлении (или, вообще, вызов модуля pam_unix2 он будет содержать в себе)? Здесь имеется в виду настройка /etc/pam.d Я понимаю, что имеется в виду /etc/pam.d/login. Я про изменения в его содержании и спрашивал. Насчёт libnss-ldap. На вин.машине, входящей в домен, пользователей которого нужно авторизовать на лин.машине, nltest /dsgetdc:domain выдаёт: " DC: \\server.domain Address: \\xxx.xxx.x.xxx Dom Guid: c6d56383-2f9d-4236-9644-628653063863 Dom Name: domain Forest Name: domain Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfully " После же настройки ldap.conf следующим образом: " # # This is the configuration file for the LDAP nameservice # switch library and the LDAP PAM module. # # Your LDAP server. Must be resolvable without using LDAP. # Multiple hosts may be specified, each separated by a # space. How long nss_ldap takes to failover depends on # whether your LDAP client library supports configurable # network or connect timeouts (see bind_timelimit). host xxx.xxx.x.xxx server.domain # The distinguished name of the search base. base dc=domain # Another way to specify your LDAP server is to provide an # uri with the server name. This allows to use # Unix Domain Sockets to connect to a local LDAP Server. #uri ldap://127.0.0.1/ #uri ldaps://127.0.0.1/ #uri ldapi://%2fvar%2frun%2fldapi_sock/ # Note: %2f encodes the '/' used as directory separator # The LDAP version to use (defaults to 3 # if supported by client library) ldap_version 3 # The distinguished name to bind to the server with. # Optional: default is to bind anonymously. #binddn cn=proxyuser,dc=example,dc=com # The credentials to bind with. # Optional: default is no credential. #bindpw secret # The distinguished name to bind to the server with # if the effective user ID is root. Password is # stored in /etc/ldap.secret (mode 600) #rootbinddn cn=manager,dc=example,dc=com # The port. # Optional: default is 389. #port 389 # The search scope. #scope sub #scope one #scope base # Search timelimit #timelimit 30 # Bind/connect timelimit #bind_timelimit 30 # Reconnect policy: # hard_open: reconnect to DSA with exponential backoff if # opening connection failed # hard_init: reconnect to DSA with exponential backoff if # initializing connection failed # hard: alias for hard_open # soft: return immediately on server failure bind_policy soft # Connection policy: # persist: DSA connections are kept open (default) # oneshot: DSA connections destroyed after request #nss_connect_policy persist # Idle timelimit; client will close connections # (nss_ldap only) if the server has not been contacted # for the number of seconds specified below. #idle_timelimit 3600 # Use paged rseults #nss_paged_results yes # Pagesize: when paged results enable, used to set the # pagesize to a custom value #pagesize 1000 # Filter to AND with uid=%s #pam_filter objectclass=account # The user ID attribute (defaults to uid) #pam_login_attribute uid # Search the root DSE for the password policy (works # with Netscape Directory Server). Make use of # Password Policy LDAP Control (as in OpenLDAP) #pam_lookup_policy yes # Check the 'host' attribute for access control # Default is no; if set to yes, and user has no # value for the host attribute, and pam_ldap is # configured for account management (authorization) # then the user will not be allowed to login. #pam_check_host_attr yes # Check the 'authorizedService' attribute for access # control # Default is no; if set to yes, and the user has no # value for the authorizedService attribute, and # pam_ldap is configured for account management # (authorization) then the user will not be allowed # to login. #pam_check_service_attr yes # Group to enforce membership of #pam_groupdn cn=PAM,ou=Groups,dc=example,dc=com # Group member attribute #pam_member_attribute uniquemember # Specify a minium or maximum UID number allowed #pam_min_uid 0 #pam_max_uid 0 # Template login attribute, default template user # (can be overriden by value of former attribute # in user's entry) #pam_login_attribute userPrincipalName #pam_template_login_attribute uid #pam_template_login nobody # HEADS UP: the pam_crypt, pam_nds_passwd, # and pam_ad_passwd options are no # longer supported. # # Do not hash the password at all; presume # the directory server will do it, if # necessary. This is the default. #pam_password clear # Hash password locally; required for University of # Michigan LDAP server, and works with Netscape # Directory Server if you're using the UNIX-Crypt # hash mechanism and not using the NT Synchronization # service. #pam_password crypt # Remove old password first, then update in # cleartext. Necessary for use with Novell # Directory Services (NDS) #pam_password nds # RACF is an alias for the above. For use with # IBM RACF #pam_password racf # Update Active Directory password, by # creating Unicode password and updating # unicodePwd attribute. #pam_password ad # Use the OpenLDAP password change # extended operation to update the password. pam_password crypt # Redirect users to a URL or somesuch on password # changes. #pam_password_prohibit_message Please visit http://internal to change your password. # Use backlinks for answering initgroups() #nss_initgroups backlink # returns NOTFOUND if nss_ldap's initgroups() is called # for users specified in nss_initgroups_ignoreusers # (comma separated) #nss_initgroups_ignoreusers root,ldap # Enable support for RFC2307bis (distinguished names in group # members) #nss_schema rfc2307bis # RFC2307bis naming contexts # Syntax: # nss_base_XXX base?scope?filter # where scope is {base,one,sub} # and filter is a filter to be &'d with the # default filter. # You can omit the suffix eg: # nss_base_passwd ou=People, # to append the default base DN but this # may incur a small performance impact. #nss_base_passwd ou=People,dc=example,dc=com?one #nss_base_shadow ou=People,dc=example,dc=com?one #nss_base_group ou=Group,dc=example,dc=com?one #nss_base_hosts ou=Hosts,dc=example,dc=com?one #nss_base_services ou=Services,dc=example,dc=com?one #nss_base_networks ou=Networks,dc=example,dc=com?one #nss_base_protocols ou=Protocols,dc=example,dc=com?one #nss_base_rpc ou=Rpc,dc=example,dc=com?one #nss_base_ethers ou=Ethers,dc=example,dc=com?one #nss_base_netmasks ou=Networks,dc=example,dc=com?ne #nss_base_bootparams ou=Ethers,dc=example,dc=com?one #nss_base_aliases ou=Aliases,dc=example,dc=com?one #nss_base_netgroup ou=Netgroup,dc=example,dc=com?one # attribute/objectclass mapping # Syntax: #nss_map_attribute rfc2307attribute mapped_attribute #nss_map_objectclass rfc2307objectclass mapped_objectclass # configure --enable-nds is no longer supported. # NDS mappings #nss_map_attribute uniqueMember member nss_map_attribute userPassword sambaPassword nss_map_attribute gecos name nss_map_attribute uid unixName nss_map_attribute shadowLastChange pwdLastSet # Services for UNIX 3.5 mappings #nss_map_objectclass posixAccount User #nss_map_objectclass shadowAccount User #nss_map_attribute uid msSFU30Name #nss_map_attribute uniqueMember msSFU30PosixMember #nss_map_attribute userPassword msSFU30Password #nss_map_attribute homeDirectory msSFU30HomeDirectory #nss_map_attribute homeDirectory msSFUHomeDirectory #nss_map_objectclass posixGroup Group #pam_login_attribute msSFU30Name #pam_filter objectclass=User #pam_password ad nss_map_objectclass posixGroup group pam_filter objectclass=User # configure --enable-mssfu-schema is no longer supported. # Services for UNIX 2.0 mappings #nss_map_objectclass posixAccount User #nss_map_objectclass shadowAccount user #nss_map_attribute uid msSFUName #nss_map_attribute uniqueMember posixMember #nss_map_attribute userPassword msSFUPassword #nss_map_attribute homeDirectory msSFUHomeDirectory #nss_map_attribute shadowLastChange pwdLastSet #nss_map_objectclass posixGroup Group #nss_map_attribute cn msSFUName #pam_login_attribute msSFUName #pam_filter objectclass=User #pam_password ad # RFC 2307 (AD) mappings #nss_map_objectclass posixAccount user #nss_map_objectclass shadowAccount user #nss_map_attribute uid sAMAccountName #nss_map_attribute homeDirectory unixHomeDirectory #nss_map_attribute shadowLastChange pwdLastSet #nss_map_objectclass posixGroup group #nss_map_attribute uniqueMember member #pam_login_attribute sAMAccountName #pam_filter objectclass=User #pam_password ad # configure --enable-authpassword is no longer supported # AuthPassword mappings #nss_map_attribute userPassword authPassword # AIX SecureWay mappings #nss_map_objectclass posixAccount aixAccount #nss_base_passwd ou=aixaccount,?one #nss_map_attribute uid userName #nss_map_attribute gidNumber gid #nss_map_attribute uidNumber uid #nss_map_attribute userPassword passwordChar #nss_map_objectclass posixGroup aixAccessGroup #nss_base_group ou=aixgroup,?one #nss_map_attribute cn groupName #nss_map_attribute uniqueMember member #pam_login_attribute userName #pam_filter objectclass=aixAccount #pam_password clear # For pre-RFC2307bis automount schema #nss_map_objectclass automountMap nisMap #nss_map_attribute automountMapName nisMapName #nss_map_objectclass automount nisObject #nss_map_attribute automountKey cn #nss_map_attribute automountInformation nisMapEntry # Netscape SDK LDAPS #ssl on # Netscape SDK SSL options #sslpath /etc/ssl/certs # OpenLDAP SSL mechanism # start_tls mechanism uses the normal LDAP port, LDAPS typically 636 #ssl no #ldap_version 3 #pam_filter objectClass=posixAccount #ssl on # OpenLDAP SSL options # Require and verify server certificate (yes/no) # Default is to use libldap's default behavior, which can be configured in # /etc/openldap/ldap.conf using the TLS_REQCERT setting. The default for # OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes". #tls_checkpeer yes # CA certificates for server certificate verification # At least one of these are required if tls_checkpeer is "yes" #tls_cacertfile /etc/ssl/ca.cert #tls_cacertdir /etc/ssl/certs # Seed the PRNG if /dev/urandom is not provided #tls_randfile /var/run/egd-pool # SSL cipher suite # See man ciphers for syntax #tls_ciphers TLSv1 # Client certificate and key # Use these, if your server requires client authentication. #tls_cert #tls_key # Disable SASL security layers. This is needed for AD. sasl_secprops maxssf=0 #ssl no #tls_checkpeer no # Override the default Kerberos ticket cache location. #krb5_ccname FILE:/etc/.ldapcache " на стандартный вывод стала выдаваться следующая информация: "nscd: nss_ldap: could not search LDAP server - Server is unavailable", а когда закомментировал строку "bind_policy soft", то ОС вообще перестала загружаться. Про openSUSE я знаю только, что в kdm.log (так как у меня стоит DISPLAYMANAGER kdm) помимо всего прочего выдаётся такая информация, как "kdmgreet: Fatal IO error: client killed" и "...pam-config: command not found". Раз процесс компиляции библиотеки настолько сложен, что проще разобраться и отредактировать столь сложный исходник pam_winbind'а... то у меня до прибегания к этой последней мере осталась лишь одна надежда: что Вы думаете насчёт модуля https://sourceforge.net/projects/pam-script/ - его никак нельзя использовать для поставленной задачи без редактирования исходников?
  22. И ещё 1 вопрос. Зачем в упомянутой ранее статье сначала настраивается LDAP c nsswitch.conf? pam_krb5 в отличие от kinit может получить доступ к спискам пользователей на AD только через LDAP, или я чего не допонимаю?
  23. gogi писал(а) Fri, 20 November 2009 23:05 Тогда задача сводится к переносе базы пользователей с паролями. Для этого как раз предназначался pam_ntlm, но ... см. ниже. Если перенести базу пользователей с ntlm паролями с сервера windows на юникс машину, то аудентификацию по этой перенесенной базе и предназначен выполнять модуль pam_ntlm http://sourceforge.net/projects/pamntlm Но для того, чтобы эту базу перенести, без пароля win админа не обойтись (не взламывая сервер ). Но в Виндоусе из-под своей простой учётной записи, если выставляю права на свои ресурсы, то вижу весь список пользователей сервера (вернее, частями по 1000)... Цитата: 2) Можно ли, в принципе, ограничиться локальным pam'ом, но написать сценарий аутентификации в /etc/pam.d/login (наподобие того, как это описано в статье http://www.citforum.ru/operating_systems/articles/pam.shtml, ссылку на которую Вы приводили), использующий kinit, useradd, passwd? Но как мы тогда проверим пароль на win сервере? Если вы заметили, в файле /etc/pam.d/login указываются как раз pam модули, проводящие аутентификацию, а это - отнюдь не скрипты. Извините, я не правильно выразился. Я имел в виду написание такого же простейшего модуля, но использующего kinit (при аутентификации по kerberos) или аналогичную команду при аутентификации по ntlm (я, правда, не знаю какую, да и kinit проверен, что работает, хотя я не знаю, что эта команда возвращает в случае удачи и в обратном, и можно ли будет это использовать в модуле), как приводимый там следующий образец: До PAM'а нам пришлось бы переписывать весь login, а теперь мы просто сделаем новый модуль, соберем его как библиотеку и припишем в сценарий аутентификации /etc/pam.d/login. Модуль будет называться просто pam_test. Но сначала о том, что же мы будем делать. Имеется следующая интересная схема аутентификации: система выдает пользователю несколько случайных чисел. Пользователь берет определенные из них, поставляет в ТОЛЬКО ЕМУ известный многочлен, например, (дата)*x*x+3*x-(текущий час)*y+z и вводит вместо пароля ответ. Компьютер тоже считает по этому алгоритму и если ответ правильный, пускает в систему. Схема идеальная: повышается математический уровень сотрудников, пароль вводится всегда другой, закономерность уловить по косвенным данным практически невозможно (коэффициенты у многочлена также меняются от времени, возможных многочленов тьма). Есть конечно очевилные недостатки: тяжело считать, можно подсмотреть как пользователь считает на бумажке, сложны вопросы хранения многочленов ... Но мы не будем столь огорчаться, ведь мы прежде всего учимся, не так ли. Как вы прочитали ранее модули различаются по классам. Наш будет класса AUTH. То есть отвечать за аутентификацию. Это его текст. /*Это простейший модуль PAM*/// Включаем необходимые заголовочные файлы.#include <security/pam_modules.h>#include <stdarg.h>#include <time.h>//Это определит тип нашего модуля#define PAM_SM_AUTH#define MAX_V 30// Самая интересная функция.// Именно она реализует наш неповторимый алгоритм аутентификации.// Подобные внешние функции должны существовать во всех модулях данного класса.PAM_EXTERN int pam_sm_authenticate(pam_handle_t * pamh, int flags ,int argc, const char **argv){ unsigned int ctrl; int retval; const char *name, *p; char *right; /*special variables*/ long x1,x2,x3,x4,y; time_t mytime; struct tm *mytm; /*готовимся к аутентификации*/ mytime=time(0); mytm=localtime(&mytime); srandom(mytime); x1=random()%MAX_V; x2=random()%MAX_V; x3=random()%MAX_V; x4=random()%MAX_V; //завели несколько случайных величин, а заодно узнали и время. /* получим имя пользователя */ // Получаем имя пользователя // Вся мудрость PAM в том, что приглашение "login: " появится если имя еще не известно, // иначе мы сразу получим ответ, сгенерированный предыдущими модулями. retval = pam_get_user(pamh, &name, "login: "); /*получим пароль используя диалог*/ { struct pam_conv *conv; struct pam_message *pmsg[3],msg[3]; struct pam_response *response; retval = pam_get_item( pamh, PAM_CONV, (const void **) &conv ) ;// Сами мы не знаем как будет осущестляться диалог, это забота программы (в нашем случае этим займется login). Мы// лишь только укажем параметры, вид приглашения и более того, можем задать сразу несколько приглашений, если надо// получить сразу несколько ответов pmsg[0] = &msg[0]; msg[0].msg_style = PAM_PROMPT_ECHO_OFF; msg[0].msg=malloc(100); snprintf(msg[0].msg,60,"Second Password:%d:%d:%d:%d:",x1,x2,x3,x4); retval = conv->conv(1, ( const struct pam_message ** ) pmsg , &response, conv->appdata_ptr); // Нам дали указатель на диалоговую функцию. Ее и запускаем. /*просчитаем правильный ответ*/ y=2*x1*mytm->tm_mday+x3*mytm->tm_hour; right=malloc(100); snprintf(right,20,"%d",y); // Сравним с ответом пользователя. Ответ формируется диалоговой функцией в специальном формате. if (!(strcmp(right,response->resp))){ return PAM_SUCCESS; }else{ return PAM_AUTH_ERR; } }/*диалог*/ return PAM_SUCCESS;// Нашим результатом будет да или нет. Как прервать программу разберется основной модуль PAM.}/* * The only thing _pam_set_credentials_unix() does is initialization of * UNIX group IDs. * * Well, everybody but me on linux-pam is convinced that it should not * initialize group IDs, so I am not doing it but don't say that I haven't * warned you. -- AOY * Перевожу: Единственная вещь которую делает pam_set_cred это инициализация Идентификаторов групп... короче в данном случае это нам совершенно не нужно */PAM_EXTERN int pam_sm_setcred(pam_handle_t * pamh, int flags ,int argc, const char **argv){ unsigned int ctrl; int retval; retval = PAM_SUCCESS;//Чтобы никто не заметил, что мы ничего не делаем ответим, что все в порядке return retval;}// Это определение необходимо для статической линковки модулей PAM в приложениях.#ifdef PAM_STATICstruct pam_module _pam_unix_auth_modstruct = { "pam_test", pam_sm_authenticate, pam_sm_setcred, NULL, NULL, NULL, NULL,};#endifВот и все. Просто. Дело в том, что мы тут описываем процедуру аутентификации и только ее - положительный эффект от грамотного разделения обязанностей. Повторим все основные этапы. В модуле, понятное дело ,должны существовать экспортируемые функции. В нашем случае это pam_sm_authenticate и pam_sm_setcred. Для каждого класса модулей свой набор функций. Дальше, внутри функций находится основной алгоритм принятия решения ответом является только "да" или "нет". Если же для принятия столь ответственного решения необходимо узнать дополнительную информацию от пользователя, то можно узнать указатель на диалоговую функцию программы. Работа с другими классами модулей абсолютно идентична. Так что попробуйте сделать еще что-нибудь свое. Если ответ положителен, то хотелось бы узнать, в чём пошагово заключается "соберем его как библиотеку", и уточнить: "припишем в сценарий аутентификации" заключается в замене pam_unix2 на него, или просто в его добавлении (или, вообще, вызов модуля pam_unix2 он будет содержать в себе)? Цитата: Того, что вы просили, сервер и не мог найти. Попробуйте просто ldapsearch -x При этом лдап сервер должен выдать всю информацию, доступную анонимно. Конкретно в случае АД - не знаю. Абсолютно тот же результат. Вообще-то эта же ошибка выдаётся, когда в Ясте в дополнительных настройках ЛДАП клиента пытаешься в административных настройках анонимно сконфигурировать настройки управления пользователями... Впрочем, если там же, но не в административных, а в клиентских настройках нажимаешь "Обзор" у Map'ов (не знаю, как это слово правильно в данном случае перевести на русский) пользователей, паролей и групп, то открываются окна с пустым содержанием (списками?)... Цитата: В /var/log/auth.log должны отображаться попытки нуудачных входов уже при настройках по умолчанию. Я это понимаю. Но дело в том, что у меня нет такого файла вообще. И я не помню, чтобы менял какие-нибудь подобные настройки. Вопрос же заключается в том, что если именно этот файл должен быть и в openSUSE, то какой настройкой это устанавливается?
  24. Всё, в принципе, верно. Могу только уточнить, что если локальный пользователь уже создан, то проверка его актуального наличия на сервере уже не обязательна. Монтирование ресурсов - задача вторичная (так или иначе она решаема, просто не хотелось бы иметь повторный запрос пароля, но это уже, как говорится, "причёсывание" последующее). Вы писали, что: "pam_krb5 - требует наличия юникс пользователя (аутент. kerberos). pam_smb - требует наличия юникс пользователя (аутент. ntlm). pam_ldap - требует наличия юникс пользователя (аутент. по паролю, хранящемуся в ldap, в последних версиях также возможен sasl). " В связи с этим у меня возникло 2 вопроса: 1) А что насчёт pam_ntlm? 2) Можно ли, в принципе, ограничиться локальным pam'ом, но написать сценарий аутентификации в /etc/pam.d/login (наподобие того, как это описано в статье http://www.citforum.ru/operating_systems/articles/pam.shtml, ссылку на которую Вы приводили), использующий kinit, useradd, passwd? Так же у меня ещё вопросы возникли по статье http://developer.novell.com/wiki/index.php/HOWTO:_Configure_ Ubuntu_for_Active_Directory_Authentication (также - Вашей ссылки):" It is assumed Active Directory is configured with an AD realm of EXAMPLE.COM and we will create one user: account name: wendy UID: 1002 GID: 1002 home directory: /home/wendy shell: /bin/bash ", - это в AD или локального? И в чём здесь проблема:" ldapsearch -x -H ldap://server.domain "(objectClass=posixAccount)" sAMAccountName # extended LDIF # # LDAPv3 # base <dc=domain> (default) with scope subtree # filter: (objectClass=posixAccount) # requesting: sAMAccountName # # search result search: 2 result: 1 Operations error text: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this ope ration a successful bind must be completed on the connection., data 0, vece # numResponses: 1 ", - ведь, согласно тексту статьи, ничего особенного, кроме настройки ldap, до этого делать, вроде, не нужно было? И последний вопрос, что и где нужно прописать, чтобы "monitor /var/log/auth.log, this should explain why you cannot login"?
  25. gogi писал(а) Sat, 07 November 2009 17:52 Занявшись поиском информации и её осмыслением, Вы выбрали правильное направление. Но технология sasl в данном случае не применима. Через sasl postfix проводит аутентификацию в АД (т.е проверяет правильную ли пару логин - пароль ему передали). Так мне и нужна проверка правильности пары логин-пароль. В случае удачи какой-то модуль или скрипт с соответствующими командами (наподобие того, что описан здесь: "http://www.citforum.ru/operating_systems/articles/pam.shtml") должен будет создать такого же локального пользователя (или аккаунт - я в терминологии не очень разбираюсь), а дальше - стандартно для нового пользователя... Можете ли Вы мне подсказать, хотя бы, команду, с помощью которой создаётся новый пользователь (я занимался этим только в графике), а также как она считает введённые имя и пароль? Цитата: Действительно, я ошибся. Опция -k относится к smbclient для доступа к ресурсам сервера через полученный билет. У mount.cifs такой опции нет, но с недавних времён появилась та, о которой Вы пишете. Если Вам удалось таким образом примонтировать рессурс, то у вас достаточно свежее ядро. //server.domain/ указывать придется, поскольку в керберос принято использовать полные имена. Нет. Таким образом мне примонтировать не удалось, потому что, как я писал, при этом используется текущий пользователь Линукса. А вот, когда я попробовал примонтировать как раньше - по ntlm, - то, используя сохранённую команду без указания домена, примонтировать не удалось. Поэтому у меня и возник вопрос: это изменение каких-нибудь настроек повлияло, или я просто сохранил неправильную команду? Цитата: Пароль не устанавливается, а только проверяется, а билет действительно будет получен. В дальнейшем этот пользователь будет логиниться так же, как и в первый раз. Автоматически создаваться никто не будет. Другой пользователь так же должен быть создал перед логином. Мне кажется, этот вопрос мы обсуждали, когда пришли к выводу, что придется писать собственный модуль аутентификации. Я понял, что нужно подключить ещё какой-то модуль (или см. выше) для создания пользователя (я, естественно, не буду вручную создавать тысячу пользователей с неизветными мне паролями), но вопрос состоит в том, можно ли будет использовать при этом kerberos, как в упомянутом выше случае postfix использует sasl?
×
×
  • Create New...