Jump to content
Sign in to follow this  
CAEman

Подключение Linux к WinServer c LDAPservice

Recommended Posts

CAEman писал(а) Sat, 19 December 2009 11:50

Я, конечно, попробовал сделать, как Вы советуете, но я не понял к чему здесь ",dc=ru".

Могу только констатировать, что с этим, что без этого АБСОЛЮТНО идентичный результат:

"

~ # ldapsearch -x

# extended LDIF

#

# LDAPv3

# base <dc=domain> (default) with scope subtree

# filter: (objectclass=*)

# requesting: ALL

#

# search result

search: 2

result: 1 Operations error

text: 00000000: LdapErr: DSID-0C090627, comment: In order to perform this ope

ration a successful bind must be completed on the connection., data 0, vece

# numResponses: 1

"

Начните с

$ telnet sever.your-org.ru 389

your-org.ru - это предполагаемое имя вашего домена (отсюда же и dc=ru в прошлом примере).

Если сервер ответит, значит он слушает порт 389.

Следующим шагом попробуйте связаться с сервером не анонимно на тот случай, что AD не поддерживает анонимных запросов.

$ ldapsearch -x -D uid=user-login,ou=People,dc=yuor-org,dc=ru -W

Имя контейнера пользователя (-D ...) уточните в документации по AD или посмотрите, подключившись к лдап серверу из венды.

Цитата:

1) В этом случае ЛДАП может не работать, а будет использоваться керберос?

В этом случае к лдап мы не обращаемся. Для аутентификации будет использовать в любом случае либо kerberos, либо ntlm.

Цитата:

2) Возможно ли сделать так, чтобы в случае наличия локального пользователя, идентичного введённому, всё остальное до загрузки пользователя пропускалось бы?

Если этот пользователь имеет локальный пароль, то так и должно быть, иначе пароль будет проверен в AD.

Цитата:

2) Создаваться будет пользователь с введёнными и именем, и паролем (а не беспарольный, как Вы в прошлый раз писали)?

В предполагаемой схеме у него не будет локального пароля. Пароль будет проверяться в AD.

Цитата:

3) А как сделать, чтобы после проверки на АД с отрицательным результатом созданный пользователь удалялся бы?

При данной схеме - это момент, о котором имеет смысл думать (если имеет), когда все остальное заработает.

Цитата:

4) А путём редактирования упомянутого как-то исходника "winbind_nss_linux.c" не проще будет, чем писать с нуля?

Наверное, проще, ведь все равно от чего-то стоит исходить. Но в результате получится во много раз меньший кусок кода.

Share this post


Link to post
Share on other sites

gogi писал(а) Sat, 19 December 2009 16:33

Начните с

$ telnet sever.your-org.ru 389

your-org.ru - это предполагаемое имя вашего домена (отсюда же и dc=ru в прошлом примере).

Если сервер ответит, значит он слушает порт 389.

Следующим шагом попробуйте связаться с сервером не анонимно на тот случай, что AD не поддерживает анонимных запросов.

$ ldapsearch -x -D uid=user-login,ou=People,dc=yuor-org,dc=ru -W

Имя контейнера пользователя (-D ...) уточните в документации по AD или посмотрите, подключившись к лдап серверу из венды.

Что-то я не совсем понял. Если для винды "domain" (или "your-org" в Вашей редакции) является доменом верхнего уровня, то для Линукса может оказаться по другому?

Результаты же таковы:

"

~ # telnet server.domain 389

Trying xxx.xxx.x.xxx...

Connected to server.domain.

Escape character is '^]'.

"

И через пару минут:

"Connection closed by foreign host."

С ".ru" же:

"telnet: server.domain.ru: Name or service not known"

С ldapsearch же результат ничем не отличается от предыдущих:

"

~ # ldapsearch -x -D uid=user-login,ou=Users,dc=domain -W

Enter LDAP Password:

ldap_bind: Invalid credentials (49)

additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece

"

Цитата:

Если этот пользователь имеет локальный пароль, то так и должно быть, иначе пароль будет проверен в AD.

...

В предполагаемой схеме у него не будет локального пароля. Пароль будет проверяться в AD.

Т.е., как я понял, схема такова:

после введения логина и пароля проверяется наличие локального пользователя с таким логином

(А МОЖНО ЗДЕСЬ ВВЕСТИ И ПРОВЕРКУ ВВЕДЁННОГО ПОЛЬЗОВАТЕЛЯ НА "ПУСТОТУ", ЧТОБЫ В ТАКОМ СЛУЧАЕ СРАЗУ ЗАВЕРШИТЬ АУТЕНТИФИКАЦИЮ С ОТРИЦАТЕЛЬНЫМ РЕЗУЛЬТАТОМ?) =>

а) если пользователь существует, то проверяется пароль существующего пользователя -

аа) если пароль пустой, то ищется одноимённый пользователь на AD и сверяется его пароль -

ааа) если какая-нибудь из проверок завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом;

ааб) иначе локальному пользователю присваивается введённый пароль и происходит его первая загрузка;

аб) иначе введённый пароль сверяется с паролем локального пользователя -

аба) если проверка завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом;

абб) иначе происходит загрузка локального пользователя;

б) иначе создаётся локальный пользователь одноимённый введённому логину, если он будет допустимым для этого

(кстати, ЭТО ПРОВЕРЯЕТСЯ АВТОМАТИЧЕСКИ, ИЛИ ЭТО КАК-ТО НУЖНО БУДЕТ ЗАБИТЬ В ИСХОДНИКЕ?),

и ищется одноимённый пользователь на AD и сверяется его пароль -

ба) если какая-нибудь из проверок завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом;

бб) иначе созданному локальному пользователю присваивается введённый пароль и происходит его первая загрузка.

Всё верно? Кстати, если я правильно понял одно из предыдущих Ваших сообщений, то грамотнее вместо "аутентификация" здесь было писать "авторизация", или нет?

Цитата:

А путём редактирования упомянутого как-то исходника "winbind_nss_linux.c" не проще будет, чем писать с нуля?

Наверное, проще, ведь все равно от чего-то стоит исходить. Но в результате получится во много раз меньший кусок кода.

В исходниках на С можно использовать команды kinit, useradd, passwd и др.? Как в противном случае можно реализовать текущую схему?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 25 December 2009 13:23

Что-то я не совсем понял. Если для винды "domain" (или "your-org" в Вашей редакции)

Да нет, я только хотел сказать, что для домена org.ru

запись в ldap dc=org,dc=ru

Цитата:

~ # ldapsearch -x -D uid=user-login,ou=Users,dc=domain -W

Enter LDAP Password:

ldap_bind: Invalid credentials (49)

additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece

Запись для пользователя uid=user-login,ou=Users,dc=domain используется обычно для учеток в openldap. В AD, может, по другому, вот Вы и не можете подключиться к серверу под этой учеткой.

Цитата:

Т.е., как я понял, схема такова:

после введения логина и пароля проверяется наличие локального пользователя с таким логином

(А МОЖНО ЗДЕСЬ ВВЕСТИ И ПРОВЕРКУ ВВЕДЁННОГО ПОЛЬЗОВАТЕЛЯ НА "ПУСТОТУ", ЧТОБЫ В ТАКОМ СЛУЧАЕ СРАЗУ ЗАВЕРШИТЬ АУТЕНТИФИКАЦИЮ С ОТРИЦАТЕЛЬНЫМ РЕЗУЛЬТАТОМ?) =>

а) если пользователь существует, то проверяется пароль существующего пользователя -

аа) если пароль пустой, то ищется одноимённый пользователь на AD и сверяется его пароль -

ааа) если какая-нибудь из проверок завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом;

ааб) иначе локальному пользователю присваивается введённый пароль и происходит его первая загрузка;

аб) иначе введённый пароль сверяется с паролем локального пользователя -

аба) если проверка завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом;

абб) иначе происходит загрузка локального пользователя;

б) иначе создаётся локальный пользователь одноимённый введённому логину, если он будет допустимым для этого

(кстати, ЭТО ПРОВЕРЯЕТСЯ АВТОМАТИЧЕСКИ, ИЛИ ЭТО КАК-ТО НУЖНО БУДЕТ ЗАБИТЬ В ИСХОДНИКЕ?),

и ищется одноимённый пользователь на AD и сверяется его пароль -

ба) если какая-нибудь из проверок завершается с отрицательным результатом, то аутентификация завершается с отрицательным результатом;

бб) иначе созданному локальному пользователю присваивается введённый пароль и происходит его первая загрузка.

Всё верно? Кстати, если я правильно понял одно из предыдущих Ваших сообщений, то грамотнее вместо "аутентификация" здесь было писать "авторизация", или нет?

Можно ли реализовать такую схему, зависит от деталей pam механизма.

Если я не забыл, мы с Вами выяснили, что при отсутствии пользователя, пароль модулю pam не передается. Модулю nss он и вовсе не передается. В этой схеме Ваш nss модуль создает пустого пользоватеся, а pam_krb5 (или аналогичный модуль для ntlm) проверяет его пароль.

Думаю, лучше начать с этой более простой схемы.

Цитата:

В исходниках на С можно использовать команды kinit, useradd, passwd и др.? Как в противном случае можно реализовать текущую схему?

Возможно и использование системных утилит. Но здесь (на достаточно низком уровне) более приемлемо редактировать файлы passwd... или (еще лучше) своего аналогичного по содержанию. kinit, если не писать pam модуль, и вовсе не понадобится.

Share this post


Link to post
Share on other sites

gogi писал(а) Fri, 25 December 2009 14:10

Запись для пользователя uid=user-login,ou=Users,dc=domain используется обычно для учеток в openldap. В AD, может, по другому, вот Вы и не можете подключиться к серверу под этой учеткой.

А как может быть по другому, Вы не знаете? Или с данным локальным ПО можно подключиться только, если на АД реализовано именно так и не иначе?

Цитата:

Можно ли реализовать такую схему, зависит от деталей pam механизма.

Если я не забыл, мы с Вами выяснили, что при отсутствии пользователя, пароль модулю pam не передается. Модулю nss он и вовсе не передается. В этой схеме Ваш nss модуль создает пустого пользоватеся, а pam_krb5 (или аналогичный модуль для ntlm) проверяет его пароль.

Думаю, лучше начать с этой более простой схемы.

Я не совсем понял, начать с какой ЭТОЙ более простой схемы.

А то я так понял, что в создаваемый nss модуль нужно просто вбить команду useradd (кстати, на мой вопрос о проверке допустимости имени Вы не знаете ответ, или просто пропустили вопрос?) и всё!

Вы бы не могли ЕЁ привести (для всего процесса авторизации и отдельно для создаваемого модуля) конкретно, как она Вам представляется?

Цитата:

Возможно и использование системных утилит. Но здесь (на достаточно низком уровне) более приемлемо редактировать файлы passwd... или (еще лучше) своего аналогичного по содержанию. kinit, если не писать pam модуль, и вовсе не понадобится.

Т.е., если придерживаться принципа "Внесение минимума изменений в систему", то в исходниках разрабатываемого nss модуля можно просто забивать команды useradd, passwd, или я Вас неправильно понял?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 25 December 2009 15:15

А как может быть по другому, Вы не знаете? Или с данным локальным ПО можно подключиться только, если на АД реализовано именно так и не иначе?

При вызове ldapsearch с ключем -D указывается dn нужной записи вместо uid=user-login,ou=Users,dc=domain. А какой именно - не знаю, смотрите в документации по AD.

Цитата:

Я не совсем понял, начать с какой ЭТОЙ более простой схемы.

А то я так понял, что в создаваемый nss модуль нужно просто вбить команду useradd (кстати, на мой вопрос о проверке допустимости имени Вы не знаете ответ, или просто пропустили вопрос?) и всё!

Вы бы не могли ЕЁ привести (для всего процесса авторизации и отдельно для создаваемого модуля) конкретно, как она Вам представляется?

Cхема, как я понимаю, примерно такая.

1. Пользователь вводит логин и пароль (либо в консоли, либо в DM)

2. Систем проверяет наличие этого пользователя, обратившись к nss и если его нет, то приглашение ввести пароль не выводится.

3a. Если юникс пользователь есть в /etc/passwd, nss выдает его данные (uid...)

3b. Если в /etc/passwd такого логина нет, вызывается Ваш nss модуль, который создает пользователя (либо добавив его в /etc/passwd прямо или через useradd, либо в свою анологичную базу) и также возвращает его данные.

4а. Вызывется pam_unix для аутентификации.

4b. При неудачной аутентификации pam_unix, вызывается pam_krb5 либо анологичный ntlm модуль.

4с. При этой неудачной аутентификации пользователю дается отказ.

Вот и все

Допустимость имени. Если хотите обезопасить систему от недопустимых имен, то при вызове useradd, он, естественно, что-то проверит. Иначе не знаю.

Цитата:

Т.е., если придерживаться принципа "Внесение минимума изменений в систему", то в исходниках разрабатываемого nss модуля можно просто забивать команды useradd, passwd, или я Вас неправильно понял?

Можно, но мне кажется, лучше напрямую изменять свою отдельную базу пользователей.

Share this post


Link to post
Share on other sites

gogi писал(а) Fri, 25 December 2009 17:45

При вызове ldapsearch с ключем -D указывается dn нужной записи вместо uid=user-login,ou=Users,dc=domain. А какой именно - не знаю, смотрите в документации по AD.

А следующий вывод на подрубленной к домену виндовой машине ldap.exe при выполнении bind никак не может здесь подсказать:

"

ld = ldap_open("", 389);

Established connection to .

Retrieving base DSA information...

Result <0>: (null)

Matched DNs:

Getting 1 entries:

>> Dn:

1> currentTime: 12/25/2009 18:24:41 ;

1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=domain;

1> dsServiceName: CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN= Sites,CN=Configuration,DC=domain;

5> namingContexts: DC=domain; CN=Configuration,DC=domain; CN=Schema,CN=Configuration,DC=domain; DC=DomainDnsZones,DC=domain; DC=ForestDnsZones,DC=domain;

1> defaultNamingContext: DC=domain;

1> schemaNamingContext: CN=Schema,CN=Configuration,DC=domain;

1> configurationNamingContext: CN=Configuration,DC=domain;

1> rootDomainNamingContext: DC=domain;

23> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 2.16.840.1.113730.3.4.9; 2.16.840.1.113730.3.4.10; 1.2.840.113556.1.4.1504; 1.2.840.113556.1.4.1852; 1.2.840.113556.1.4.802; 1.2.840.113556.1.4.1907; 1.2.840.113556.1.4.1948;

2> supportedLDAPVersion: 3; 2;

12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; MaxValRange;

1> highestCommittedUSN: 44295516;

4> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5;

1> dnsHostName: server.domain;

1> ldapServiceName: domain:server$@DOMAIN;

1> serverName: CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN= Configuration,DC=domain;

3> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1670; 1.2.840.113556.1.4.1791;

1> isSynchronized: TRUE;

1> isGlobalCatalogReady: TRUE;

1> domainFunctionality: 0;

1> forestFunctionality: 0;

1> domainControllerFunctionality: 2;

-----------

res = ldap_bind_s(ld, NULL, &NtAuthIdentity, 1158); // v.3

{NtAuthIdentity: User='user'; Pwd= <unavailable>; domain = domain.}

Authenticated as dn:'user'.

"

Тот же результат и при анонимном подсоединении, только вместо "user" выдаёт "NULL" (методы: SSPI, NTLM).

(Выдаёт именно с такой абракадаброй - что-то, видать, с кодировкой не так)

Если убрать Synchronous:

"

Error <-1>: ldap_bind() failed: Ëîêàëüíàÿ îøèáêà

"

Если же выбрать метод Simple, не убрав пользователя (домен при этом не проставляется), то:

с Use auth. identit. -

"

Error <49>: ldap_simple_bind_s() failed: Íåïðàâèëüíûå ó÷åòíûå äàííûå

"

без -

"

Error <52>: ldap_simple_bind_s() failed: Íåò äàííûõ

"

Если же - SASL или OTHERKIND (домен при этом тоже не проставляется):

"

Error <7>: ldap_bind_s() failed: Ìåòîä ïðîâåðêè ïîäëèííîñòè íå ïîääåðæèâàåòñÿ.

"

SICILY, не убрав пользователя (домен при этом не проставляется):

"

Error <90>: ldap_bind_s() failed: Íåäîñòàòî÷íî ïàìÿòè.

"

MSN (домен при этом тоже не проставляется):

"

Error <86>: ldap_bind_s() failed: Ðåçóëüòàò ïðîâåðêè íåèçâåñòåí.

"

DPA:

без введённого пользователя, но

"

Error <86>: ldap_bind_s() failed: Ðåçóëüòàò ïðîâåðêè íåèçâåñòåí.

"

без Use auth. identit. -

"

Error <85>: ldap_bind_s() failed: Òàéìàóò.

"

с введённым пользователем, но без Use auth. identit. -

"

Error <90>: ldap_bind_s() failed: Íåäîñòàòî÷íî ïàìÿòè.

"

DIGEST:

подрубается либо с введённым пользователем и с Use auth. identit., либо без и без;

с и без -

"

Error <89>: ldap_bind_s() failed: Îøèáêà â ïàðàìåòðå.

"

без и с -

"

Error <82>: ldap_bind_s() failed: Ëîêàëüíàÿ îøèáêà.

"

Цитата:

Cхема, как я понимаю, примерно такая.

1. Пользователь вводит логин и пароль (либо в консоли, либо в DM)

2. Систем проверяет наличие этого пользователя, обратившись к nss и если его нет, то приглашение ввести пароль не выводится.

3a. Если юникс пользователь есть в /etc/passwd, nss выдает его данные (uid...)

3b. Если в /etc/passwd такого логина нет, вызывается Ваш nss модуль, который создает пользователя (либо добавив его в /etc/passwd прямо или через useradd, либо в свою анологичную базу) и также возвращает его данные.

4а. Вызывется pam_unix для аутентификации.

4b. При неудачной аутентификации pam_unix, вызывается pam_krb5 либо анологичный ntlm модуль.

4с. При этой неудачной аутентификации пользователю дается отказ.

Вот и все.

2. А в DM сразу вводится и имя, и пароль.

3а-4а. Если есть беспарольный (от неудачной аутентификации) и был введён беспарольный, то он не загрузится?

А при удачной pam_krb5 аутентификации локальному пользователю будет добавлен правильный пароль?

Цитата:

Можно, но мне кажется, лучше напрямую изменять свою отдельную базу пользователей.

А она всего одна и будет (других локальных пользователей не будет, не считая стандартного набора).

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 25 December 2009 19:54

А следующий вывод на подрубленной к домену виндовой машине ldap.exe при выполнении bind никак не может здесь подсказать:

"

ld = ldap_open("", 389);

Established connection to .

Retrieving base DSA information...

Я здесь ничего, что могло бы помочь, не нашел.

Цитата:

2. А в DM сразу вводится и имя, и пароль.

в gdm - да, в xdm -нет, в kdm - не помню. Но это все равно ничего не меняет.

Цитата:

3а-4а. Если есть беспарольный (от неудачной аутентификации) и был введён беспарольный, то он не загрузится?

системный nss, еще до Вашего, выдаст данные и после этого будет проверен пароль в AD.

Цитата:

А при удачной pam_krb5 аутентификации локальному пользователю будет добавлен правильный пароль?

Автоматом, конечно, нет. Разве что еще один модуль pam писать для добавления в /etc/shadow хеша пароля. А это нужно?

Share this post


Link to post
Share on other sites

gogi писал(а) Fri, 25 December 2009 20:26

Я здесь ничего, что могло бы помочь, не нашел.

А какая программа могла бы выдать такую информацию?

Цитата:

системный nss, еще до Вашего, выдаст данные и после этого будет проверен пароль в AD.

А какже:

"3a. Если юникс пользователь есть в /etc/passwd, nss выдает его данные (uid...)

4а. Вызывется pam_unix для аутентификации."

Цитата:

Автоматом, конечно, нет. Разве что еще один модуль pam писать для добавления в /etc/shadow хеша пароля. А это нужно?

Естественно. Чтобы пользователь в следующий раз уже мог загружаться локально без всей этой мороки...

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 25 December 2009 21:01

А какая программа могла бы выдать такую информацию?

Гугл подскажет.

Цитата:

А какже:

"3a. Если юникс пользователь есть в /etc/passwd, nss выдает его данные (uid...)

4а. Вызывется pam_unix для аутентификации."

nss выдаст данные пользователя по логину независимо от введенного пароля и даже в том случае, если у него вовсе нет пароля.

Если он есть в /etc/passwd, то это сделает системный модуль. Если нет - то ваш создаст пользователя и выдаст данные.

Затем начнется проверка пароля модулями pam.

Сначала pam_unix сверит хэш пароля с записью в /etc/shadow. При успехе - вход. Иначе pam_krb5 проведет аутентификацию в AD. При успехе - тоже вход. Иначе - отбой.

Цитата:

Чтобы пользователь в следующий раз уже мог загружаться локально без всей этой мороки...

Сетевая аутентификация - это не морока, а один из принципов построения централизованной системы безопасности.

Путаница будет, если у пользователя дубликаты паролей в разных местах. Один - в AD + по одному на каждой машине, где он хоть один раз логинился. Здесь и безопасность хромает. Всякий, загрузившийся с флэшки, сможет украсть хэш и подобрать пароль.

Share this post


Link to post
Share on other sites

С Новым годом!

gogi писал(а) Fri, 25 December 2009 21:36

nss выдаст данные пользователя по логину независимо от введенного пароля и даже в том случае, если у него вовсе нет пароля.

Если он есть в /etc/passwd, то это сделает системный модуль. Если нет - то ваш создаст пользователя и выдаст данные.

Затем начнется проверка пароля модулями pam.

Сначала pam_unix сверит хэш пароля с записью в /etc/shadow. При успехе - вход. Иначе pam_krb5 проведет аутентификацию в AD. При успехе - тоже вход. Иначе - отбой.

Сетевая аутентификация - это не морока, а один из принципов построения централизованной системы безопасности.

Путаница будет, если у пользователя дубликаты паролей в разных местах. Один - в AD + по одному на каждой машине, где он хоть один раз логинился. Здесь и безопасность хромает. Всякий, загрузившийся с флэшки, сможет украсть хэш и подобрать пароль.

Значит, если я Вас правильно понимаю, согласно предлагаемой Вами схеме в целях безопасности следует исключить возможность локальной авторизации без сети всех этих создаваемых беспарольных локальных пользователей.

В связи с этим у меня возникли следующие вопросы:

1. Будет ли грузиться root (и, кстати, как обеспечивается сохранность его пароля)?

2. Будут ли использоваться локальные профили повторно загружающихся пользователей, или они будут перезаписываться профилем по умолчанию?

3. Неправильно введённые (несуществующие в сети) пользователи будут плодиться неограниченно (вернее, до забивки всех возможных uid с последующей невозможностью загрузки неуспевших локально зарегистрироваться существующих сетевых пользователей)?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 08 January 2010 13:24

Значит, если я Вас правильно понимаю, согласно предлагаемой Вами схеме в целях безопасности следует исключить возможность локальной авторизации без сети всех этих создаваемых беспарольных локальных пользователей.

В связи с этим у меня возникли следующие вопросы:

1. Будет ли грузиться root (и, кстати, как обеспечивается сохранность его пароля)?

а) Обычно, pam настраивают таким образом, что root аутентифицируется локально.

б) Каждый, имеющий физичесткий доступ к машини, сможет украсть хэш рута и попыталься подобрать пароль. Поэтому кртичные для безопасти машины должны быть физически изолированы, либо данные на диске должны быть зашифрованы.

Цитата:

2. Будут ли использоваться локальные профили повторно загружающихся пользователей, или они будут перезаписываться профилем по умолчанию?

/home можно использовать как локальный (самый простой вариант), так и разделяемый. Не сохранять личные настройки тоже можно, но думаю Вам это не нужно.

Цитата:

3. Неправильно введённые (несуществующие в сети) пользователи будут плодиться неограниченно (вернее, до забивки всех возможных uid с последующей невозможностью загрузки неуспевших локально зарегистрироваться существующих сетевых пользователей)?

Даже если они будуть плодиться неограниченно, за время службы комиьютера (не более 100 лет) количества uid будет достаточно ))).

Также можно будет написать еще один pam модуль для удаления пользователя, не прошедшего аутентификацию.

Share this post


Link to post
Share on other sites

gogi писал(а) Fri, 08 January 2010 18:30

/home можно использовать как локальный (самый простой вариант), так и разделяемый. Не сохранять личные настройки тоже можно, но думаю Вам это не нужно.

Так вопрос именно в том, не будут ли при данной схеме авторизации (т.е. с обязательной авторизацией в сети, независимо от наличия локального пользователя со своим профилем) уже существующие профили перезаписываться профилем по умолчанию? Иначе говоря, возможно ли при данной схеме в случае наличия локального пользователя с именем, идентичным введённому, использовать его со своим профилем, а поскольку он будет беспарольным, то просто производить обязательную аутентификацию в сети при помощи кербероса (но при этом, если у него ещё не будет профиля, например, из-за неудачно произведённых ранее аутентификаций, то в случае удачной текущей - производить стандартную первую загрузку с созданием профиля по умолчанию)?

Цитата:

Даже если они будуть плодиться неограниченно, за время службы комиьютера (не более 100 лет) количества uid будет достаточно ))).

Также можно будет написать еще один pam модуль для удаления пользователя, не прошедшего аутентификацию.

Количество uid составляет (по крайней мере, по умолчанию) менее 60000. Если производить неправильную авторизацию каждые 6с, то на это уйдёт ~100ч, что в реальности может составить срок порядка года...

А в каких исходниках winbind'а можно это найти (ведь, если Вы считаете, что в winbind_nss_linux.c может содержаться нужная для первого создаваемого модуля информация, т.е. создание пользователя, то где-то должно быть и его удаление при неудачной авторизации)?

Кстати, нужно чтобы профиль удалялся только в случае отсутствия пользователя с таким именем на сервере, но НЕ ПАРОЛЯ (т.е. при случайной ошибке при вводе пароля профиль бы не удалялся). Такое возможно сделать?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 08 January 2010 20:59

Так вопрос именно в том, не будут ли при данной схеме авторизации (т.е. с обязательной авторизацией в сети, независимо от наличия локального пользователя со своим профилем) уже существующие профили перезаписываться профилем по умолчанию? Иначе говоря, возможно ли при данной схеме в случае наличия локального пользователя с именем, идентичным введённому, использовать его со своим профилем, а поскольку он будет беспарольным, то просто производить обязательную аутентификацию в сети при помощи кербероса (но при этом, если у него ещё не будет профиля, например, из-за неудачно произведённых ранее аутентификаций, то в случае удачной текущей - производить стандартную первую загрузку с созданием профиля по умолчанию)?

То что Вы называете профилем, находится в домашнем каталоге и Вас никто не заставляет его удалять. А раз так, то все данные сохранятся, в том числе и личные настройки. Системе совершенно без разницы, где проведена аутентификация.

Цитата:

Количество uid составляет (по крайней мере, по умолчанию) менее 60000. Если производить неправильную авторизацию каждые 6с, то на это уйдёт ~100ч, что в реальности может составить срок порядка года...

65000 в ядре 2.4.

Ядру 2.6, на котором сейчас собираются почти все дистрибутивы, уже далеко не первый год.) Предел - 4 миллиарда.

Цитата:

А в каких исходниках winbind'а можно это найти (ведь, если Вы считаете, что в winbind_nss_linux.c может содержаться нужная для первого создаваемого модуля информация, т.е. создание пользователя, то где-то должно быть и его удаление при неудачной авторизации или аутентификации)?

Если Вы разберетесь с основной задачей, то решение этой (удаление только что созданного пользователя) не должно составить труда.

Share this post


Link to post
Share on other sites

Просмотрел я исходник winbind_nss_linux.c.

Что-то создание пользователя я там не нашёл...

Работа идёт всё время с кэшем. Под конец только "map a uid to a SID string ". Это разве и есть создание пользователя?

Прилагаю весь текст исходника (может, я что-то не понял?):

/*   Unix SMB/CIFS implementation.   Windows NT Domain nsswitch module   Copyright © Tim Potter 2000   This library is free software; you can redistribute it and/or   modify it under the terms of the GNU Lesser General Public   License as published by the Free Software Foundation; either   version 3 of the License, or (at your option) any later version.   This library is distributed in the hope that it will be useful,   but WITHOUT ANY WARRANTY; without even the implied warranty of   MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU   Library General Public License for more details.   You should have received a copy of the GNU Lesser General Public License   along with this program.  If not, see <http://www.gnu.org/licenses/>.*/#include "winbind_client.h"#if HAVE_PTHREAD_H#include <pthread.h>#endif#if HAVE_PTHREADstatic pthread_mutex_t winbind_nss_mutex = PTHREAD_MUTEX_INITIALIZER;#endif/* Maximum number of users to pass back over the unix domain socket   per call. This is not a static limit on the total number of users   or groups returned in total. */#define MAX_GETPWENT_USERS 250#define MAX_GETGRENT_USERS 250NSS_STATUS _nss_winbind_setpwent(void);NSS_STATUS _nss_winbind_endpwent(void);NSS_STATUS _nss_winbind_getpwent_r(struct passwd *result, char *buffer,				   size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getpwuid_r(uid_t uid, struct passwd *result,				   char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getpwnam_r(const char *name, struct passwd *result,				   char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_setgrent(void);NSS_STATUS _nss_winbind_endgrent(void);NSS_STATUS _nss_winbind_getgrent_r(struct group *result, char *buffer,				   size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getgrlst_r(struct group *result, char *buffer,				   size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getgrnam_r(const char *name, struct group *result,				   char *buffer, size_t buflen, int *errnop);NSS_STATUS _nss_winbind_getgrgid_r(gid_t gid, struct group *result, char *buffer,				   size_t buflen, int *errnop);NSS_STATUS _nss_winbind_initgroups_dyn(char *user, gid_t group, long int *start,				       long int *size, gid_t **groups,				       long int limit, int *errnop);NSS_STATUS _nss_winbind_getusersids(const char *user_sid, char **group_sids,				    int *num_groups, char *buffer, size_t buf_size,				    int *errnop);NSS_STATUS _nss_winbind_nametosid(const char *name, char **sid, char *buffer,				  size_t buflen, int *errnop);NSS_STATUS _nss_winbind_sidtoname(const char *sid, char **name, char *buffer,				  size_t buflen, int *errnop);NSS_STATUS _nss_winbind_sidtouid(const char *sid, uid_t *uid, int *errnop);NSS_STATUS _nss_winbind_sidtogid(const char *sid, gid_t *gid, int *errnop);NSS_STATUS _nss_winbind_uidtosid(uid_t uid, char **sid, char *buffer,				 size_t buflen, int *errnop);NSS_STATUS _nss_winbind_gidtosid(gid_t gid, char **sid, char *buffer,				 size_t buflen, int *errnop);/* Prototypes from wb_common.c *//* Allocate some space from the nss static buffer.  The buffer and buflen   are the pointers passed in by the C library to the _nss_ntdom_*   functions. */static char *get_static(char **buffer, size_t *buflen, size_t len){	char *result;	/* Error check.  We return false if things aren't set up right, or	   there isn't enough buffer space left. */	if ((buffer == NULL) || (buflen == NULL) || (*buflen < len)) {		return NULL;	}	/* Return an index into the static buffer */	result = *buffer;	*buffer += len;	*buflen -= len;	return result;}/* I've copied the strtok() replacement function next_token_Xalloc() from   lib/util_str.c as I really don't want to have to link in any other   objects if I can possibly avoid it. */static bool next_token_alloc(const char **ptr,                                char **pp_buff,                                const char *sep){	const char *s;	const char *saved_s;	char *pbuf;	bool quoted;	size_t len=1;	*pp_buff = NULL;	if (!ptr) {		return(false);	}	s = *ptr;	/* default to simple separators */	if (!sep) {		sep = " \t\n\r";	}	/* find the first non sep char */	while (*s && strchr(sep,*s)) {		s++;	}	/* nothing left? */	if (!*s) {		return false;	}	/* When restarting we need to go from here. */	saved_s = s;	/* Work out the length needed. */	for (quoted = false; *s &&			(quoted || !strchr(sep,*s)); s++) {		if (*s == '\"') {			quoted = !quoted;		} else {			len++;		}	}	/* We started with len = 1 so we have space for the nul. */	*pp_buff = (char *)malloc(len);	if (!*pp_buff) {		return false;	}	/* copy over the token */	pbuf = *pp_buff;	s = saved_s;	for (quoted = false; *s &&			(quoted || !strchr(sep,*s)); s++) {		if ( *s == '\"' ) {			quoted = !quoted;		} else {			*pbuf++ = *s;		}	}	*ptr = (*s) ? s+1 : s;	*pbuf = 0;	return true;}/* Fill a pwent structure from a winbindd_response structure.  We use   the static data passed to us by libc to put strings and stuff in.   Return NSS_STATUS_TRYAGAIN if we run out of memory. */static NSS_STATUS fill_pwent(struct passwd *result,				  struct winbindd_pw *pw,				  char **buffer, size_t *buflen){	/* User name */	if ((result->pw_name =	     get_static(buffer, buflen, strlen(pw->pw_name) + 1)) == NULL) {		/* Out of memory */		return NSS_STATUS_TRYAGAIN;	}	strcpy(result->pw_name, pw->pw_name);	/* Password */	if ((result->pw_passwd =	     get_static(buffer, buflen, strlen(pw->pw_passwd) + 1)) == NULL) {		/* Out of memory */		return NSS_STATUS_TRYAGAIN;	}	strcpy(result->pw_passwd, pw->pw_passwd);	/* [ug]id */	result->pw_uid = pw->pw_uid;	result->pw_gid = pw->pw_gid;	/* GECOS */	if ((result->pw_gecos =	     get_static(buffer, buflen, strlen(pw->pw_gecos) + 1)) == NULL) {		/* Out of memory */		return NSS_STATUS_TRYAGAIN;	}	strcpy(result->pw_gecos, pw->pw_gecos);	/* Home directory */	if ((result->pw_dir =	     get_static(buffer, buflen, strlen(pw->pw_dir) + 1)) == NULL) {		/* Out of memory */		return NSS_STATUS_TRYAGAIN;	}	strcpy(result->pw_dir, pw->pw_dir);	/* Logon shell */	if ((result->pw_shell =	     get_static(buffer, buflen, strlen(pw->pw_shell) + 1)) == NULL) {		/* Out of memory */		return NSS_STATUS_TRYAGAIN;	}	strcpy(result->pw_shell, pw->pw_shell);	/* The struct passwd for Solaris has some extra fields which must	   be initialised or nscd crashes. */#if HAVE_PASSWD_PW_COMMENT	result->pw_comment = "";#endif#if HAVE_PASSWD_PW_AGE	result->pw_age = "";#endif	return NSS_STATUS_SUCCESS;}/* Fill a grent structure from a winbindd_response structure.  We use   the static data passed to us by libc to put strings and stuff in.   Return NSS_STATUS_TRYAGAIN if we run out of memory. */static NSS_STATUS fill_grent(struct group *result, struct winbindd_gr *gr,		      char *gr_mem, char **buffer, size_t *buflen){	char *name;	int i;	char *tst;	/* Group name */	if ((result->gr_name =	     get_static(buffer, buflen, strlen(gr->gr_name) + 1)) == NULL) {		/* Out of memory */		return NSS_STATUS_TRYAGAIN;	}	strcpy(result->gr_name, gr->gr_name);	/* Password */	if ((result->gr_passwd =	     get_static(buffer, buflen, strlen(gr->gr_passwd) + 1)) == NULL) {		/* Out of memory */		return NSS_STATUS_TRYAGAIN;	}	strcpy(result->gr_passwd, gr->gr_passwd);	/* gid */	result->gr_gid = gr->gr_gid;	/* Group membership */	if ((gr->num_gr_mem < 0) || !gr_mem) {		gr->num_gr_mem = 0;	}	/* this next value is a pointer to a pointer so let's align it */	/* Calculate number of extra bytes needed to align on pointer size boundry */	if ((i = (unsigned long)(*buffer) % sizeof(char*)) != 0)		i = sizeof(char*) - i;	if ((tst = get_static(buffer, buflen, ((gr->num_gr_mem + 1) *				 sizeof(char *)+i))) == NULL) {		/* Out of memory */		return NSS_STATUS_TRYAGAIN;	}	result->gr_mem = (char **)(tst + i);	if (gr->num_gr_mem == 0) {		/* Group is empty */		*(result->gr_mem) = NULL;		return NSS_STATUS_SUCCESS;	}	/* Start looking at extra data */	i = 0;	while(next_token_alloc((const char **)&gr_mem, &name, ",")) {		/* Allocate space for member */		if (((result->gr_mem)[i] =		     get_static(buffer, buflen, strlen(name) + 1)) == NULL) {			free(name);			/* Out of memory */			return NSS_STATUS_TRYAGAIN;		}		strcpy((result->gr_mem)[i], name);		free(name);		i++;	}	/* Terminate list */	(result->gr_mem)[i] = NULL;	return NSS_STATUS_SUCCESS;}/* * NSS user functions */static struct winbindd_response getpwent_response;static int ndx_pw_cache;                 /* Current index into pwd cache */static int num_pw_cache;                 /* Current size of pwd cache *//* Rewind "file pointer" to start of ntdom password database */NSS_STATUS_nss_winbind_setpwent(void){	NSS_STATUS ret;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: setpwent\n", getpid());#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	if (num_pw_cache > 0) {		ndx_pw_cache = num_pw_cache = 0;		winbindd_free_response(&getpwent_response);	}	ret = winbindd_request_response(WINBINDD_SETPWENT, NULL, NULL);#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: setpwent returns %s (%d)\n", getpid(),		nss_err_str(ret), ret);#endif#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* Close ntdom password database "file pointer" */NSS_STATUS_nss_winbind_endpwent(void){	NSS_STATUS ret;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: endpwent\n", getpid());#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	if (num_pw_cache > 0) {		ndx_pw_cache = num_pw_cache = 0;		winbindd_free_response(&getpwent_response);	}	ret = winbindd_request_response(WINBINDD_ENDPWENT, NULL, NULL);#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: endpwent returns %s (%d)\n", getpid(),		nss_err_str(ret), ret);#endif#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* Fetch the next password entry from ntdom password database */NSS_STATUS_nss_winbind_getpwent_r(struct passwd *result, char *buffer,			size_t buflen, int *errnop){	NSS_STATUS ret;	struct winbindd_request request;	static int called_again;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getpwent\n", getpid());#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	/* Return an entry from the cache if we have one, or if we are	   called again because we exceeded our static buffer.  */	if ((ndx_pw_cache < num_pw_cache) || called_again) {		goto return_result;	}	/* Else call winbindd to get a bunch of entries */	if (num_pw_cache > 0) {		winbindd_free_response(&getpwent_response);	}	ZERO_STRUCT(request);	ZERO_STRUCT(getpwent_response);	request.data.num_entries = MAX_GETPWENT_USERS;	ret = winbindd_request_response(WINBINDD_GETPWENT, &request,			       &getpwent_response);	if (ret == NSS_STATUS_SUCCESS) {		struct winbindd_pw *pw_cache;		/* Fill cache */		ndx_pw_cache = 0;		num_pw_cache = getpwent_response.data.num_entries;		/* Return a result */	return_result:		pw_cache = (struct winbindd_pw *)			getpwent_response.extra_data.data;		/* Check data is valid */		if (pw_cache == NULL) {			ret = NSS_STATUS_NOTFOUND;			goto done;		}		ret = fill_pwent(result, &pw_cache[ndx_pw_cache],				 &buffer, &buflen);		/* Out of memory - try again */		if (ret == NSS_STATUS_TRYAGAIN) {			called_again = true;			*errnop = errno = ERANGE;			goto done;		}		*errnop = errno = 0;		called_again = false;		ndx_pw_cache++;		/* If we've finished with this lot of results free cache */		if (ndx_pw_cache == num_pw_cache) {			ndx_pw_cache = num_pw_cache = 0;			winbindd_free_response(&getpwent_response);		}	}	done:#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getpwent returns %s (%d)\n", getpid(),		nss_err_str(ret), ret);#endif#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* Return passwd struct from uid */NSS_STATUS_nss_winbind_getpwuid_r(uid_t uid, struct passwd *result, char *buffer,			size_t buflen, int *errnop){	NSS_STATUS ret;	static struct winbindd_response response;	struct winbindd_request request;	static int keep_response;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getpwuid_r %d\n", getpid(), (unsigned int)uid);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	/* If our static buffer needs to be expanded we are called again */	if (!keep_response || uid != response.data.pw.pw_uid) {		/* Call for the first time */		ZERO_STRUCT(response);		ZERO_STRUCT(request);		request.data.uid = uid;		ret = winbindd_request_response(WINBINDD_GETPWUID, &request, &response);		if (ret == NSS_STATUS_SUCCESS) {			ret = fill_pwent(result, &response.data.pw,					 &buffer, &buflen);			if (ret == NSS_STATUS_TRYAGAIN) {				keep_response = true;				*errnop = errno = ERANGE;				goto done;			}		}	} else {		/* We've been called again */		ret = fill_pwent(result, &response.data.pw, &buffer, &buflen);		if (ret == NSS_STATUS_TRYAGAIN) {			*errnop = errno = ERANGE;			goto done;		}		keep_response = false;		*errnop = errno = 0;	}	winbindd_free_response(&response);	done:#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getpwuid %d returns %s (%d)\n", getpid(),		(unsigned int)uid, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* Return passwd struct from username */NSS_STATUS_nss_winbind_getpwnam_r(const char *name, struct passwd *result, char *buffer,			size_t buflen, int *errnop){	NSS_STATUS ret;	static struct winbindd_response response;	struct winbindd_request request;	static int keep_response;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getpwnam_r %s\n", getpid(), name);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	/* If our static buffer needs to be expanded we are called again */	if (!keep_response || strcmp(name,response.data.pw.pw_name) != 0) {		/* Call for the first time */		ZERO_STRUCT(response);		ZERO_STRUCT(request);		strncpy(request.data.username, name,			sizeof(request.data.username) - 1);		request.data.username			[sizeof(request.data.username) - 1] = '\0';		ret = winbindd_request_response(WINBINDD_GETPWNAM, &request, &response);		if (ret == NSS_STATUS_SUCCESS) {			ret = fill_pwent(result, &response.data.pw, &buffer,					 &buflen);			if (ret == NSS_STATUS_TRYAGAIN) {				keep_response = true;				*errnop = errno = ERANGE;				goto done;			}		}	} else {		/* We've been called again */		ret = fill_pwent(result, &response.data.pw, &buffer, &buflen);		if (ret == NSS_STATUS_TRYAGAIN) {			keep_response = true;			*errnop = errno = ERANGE;			goto done;		}		keep_response = false;		*errnop = errno = 0;	}	winbindd_free_response(&response);	done:#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getpwnam %s returns %s (%d)\n", getpid(),		name, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* * NSS group functions */static struct winbindd_response getgrent_response;static int ndx_gr_cache;                 /* Current index into grp cache */static int num_gr_cache;                 /* Current size of grp cache *//* Rewind "file pointer" to start of ntdom group database */NSS_STATUS_nss_winbind_setgrent(void){	NSS_STATUS ret;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: setgrent\n", getpid());#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	if (num_gr_cache > 0) {		ndx_gr_cache = num_gr_cache = 0;		winbindd_free_response(&getgrent_response);	}	ret = winbindd_request_response(WINBINDD_SETGRENT, NULL, NULL);#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: setgrent returns %s (%d)\n", getpid(),		nss_err_str(ret), ret);#endif#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* Close "file pointer" for ntdom group database */NSS_STATUS_nss_winbind_endgrent(void){	NSS_STATUS ret;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: endgrent\n", getpid());#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	if (num_gr_cache > 0) {		ndx_gr_cache = num_gr_cache = 0;		winbindd_free_response(&getgrent_response);	}	ret = winbindd_request_response(WINBINDD_ENDGRENT, NULL, NULL);#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: endgrent returns %s (%d)\n", getpid(),		nss_err_str(ret), ret);#endif#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* Get next entry from ntdom group database */static NSS_STATUSwinbind_getgrent(enum winbindd_cmd cmd,		 struct group *result,		 char *buffer, size_t buflen, int *errnop){	NSS_STATUS ret;	static struct winbindd_request request;	static int called_again;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getgrent\n", getpid());#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	/* Return an entry from the cache if we have one, or if we are	   called again because we exceeded our static buffer.  */	if ((ndx_gr_cache < num_gr_cache) || called_again) {		goto return_result;	}	/* Else call winbindd to get a bunch of entries */	if (num_gr_cache > 0) {		winbindd_free_response(&getgrent_response);	}	ZERO_STRUCT(request);	ZERO_STRUCT(getgrent_response);	request.data.num_entries = MAX_GETGRENT_USERS;	ret = winbindd_request_response(cmd, &request,			       &getgrent_response);	if (ret == NSS_STATUS_SUCCESS) {		struct winbindd_gr *gr_cache;		int mem_ofs;		/* Fill cache */		ndx_gr_cache = 0;		num_gr_cache = getgrent_response.data.num_entries;		/* Return a result */	return_result:		gr_cache = (struct winbindd_gr *)			getgrent_response.extra_data.data;		/* Check data is valid */		if (gr_cache == NULL) {			ret = NSS_STATUS_NOTFOUND;			goto done;		}		/* Fill group membership.  The offset into the extra data		   for the group membership is the reported offset plus the		   size of all the winbindd_gr records returned. */		mem_ofs = gr_cache[ndx_gr_cache].gr_mem_ofs +			num_gr_cache * sizeof(struct winbindd_gr);		ret = fill_grent(result, &gr_cache[ndx_gr_cache],				 ((char *)getgrent_response.extra_data.data)+mem_ofs,				 &buffer, &buflen);		/* Out of memory - try again */		if (ret == NSS_STATUS_TRYAGAIN) {			called_again = true;			*errnop = errno = ERANGE;			goto done;		}		*errnop = 0;		called_again = false;		ndx_gr_cache++;		/* If we've finished with this lot of results free cache */		if (ndx_gr_cache == num_gr_cache) {			ndx_gr_cache = num_gr_cache = 0;			winbindd_free_response(&getgrent_response);		}	}	done:#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getgrent returns %s (%d)\n", getpid(),		nss_err_str(ret), ret);#endif#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}NSS_STATUS_nss_winbind_getgrent_r(struct group *result,			char *buffer, size_t buflen, int *errnop){	return winbind_getgrent(WINBINDD_GETGRENT, result, buffer, buflen, errnop);}NSS_STATUS_nss_winbind_getgrlst_r(struct group *result,			char *buffer, size_t buflen, int *errnop){	return winbind_getgrent(WINBINDD_GETGRLST, result, buffer, buflen, errnop);}/* Return group struct from group name */NSS_STATUS_nss_winbind_getgrnam_r(const char *name,			struct group *result, char *buffer,			size_t buflen, int *errnop){	NSS_STATUS ret;	static struct winbindd_response response;	struct winbindd_request request;	static int keep_response;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getgrnam %s\n", getpid(), name);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	/* If our static buffer needs to be expanded we are called again */	/* Or if the stored response group name differs from the request. */	if (!keep_response || strcmp(name,response.data.gr.gr_name) != 0) {		/* Call for the first time */		ZERO_STRUCT(request);		ZERO_STRUCT(response);		strncpy(request.data.groupname, name,			sizeof(request.data.groupname));		request.data.groupname			[sizeof(request.data.groupname) - 1] = '\0';		ret = winbindd_request_response(WINBINDD_GETGRNAM, &request, &response);		if (ret == NSS_STATUS_SUCCESS) {			ret = fill_grent(result, &response.data.gr,					 (char *)response.extra_data.data,					 &buffer, &buflen);			if (ret == NSS_STATUS_TRYAGAIN) {				keep_response = true;				*errnop = errno = ERANGE;				goto done;			}		}	} else {		/* We've been called again */		ret = fill_grent(result, &response.data.gr,				 (char *)response.extra_data.data, &buffer,				 &buflen);		if (ret == NSS_STATUS_TRYAGAIN) {			keep_response = true;			*errnop = errno = ERANGE;			goto done;		}		keep_response = false;		*errnop = 0;	}	winbindd_free_response(&response);	done:#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getgrnam %s returns %s (%d)\n", getpid(),		name, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* Return group struct from gid */NSS_STATUS_nss_winbind_getgrgid_r(gid_t gid,			struct group *result, char *buffer,			size_t buflen, int *errnop){	NSS_STATUS ret;	static struct winbindd_response response;	struct winbindd_request request;	static int keep_response;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getgrgid %d\n", getpid(), gid);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	/* If our static buffer needs to be expanded we are called again */	/* Or if the stored response group name differs from the request. */	if (!keep_response || gid != response.data.gr.gr_gid) {		/* Call for the first time */		ZERO_STRUCT(request);		ZERO_STRUCT(response);		request.data.gid = gid;		ret = winbindd_request_response(WINBINDD_GETGRGID, &request, &response);		if (ret == NSS_STATUS_SUCCESS) {			ret = fill_grent(result, &response.data.gr,					 (char *)response.extra_data.data,					 &buffer, &buflen);			if (ret == NSS_STATUS_TRYAGAIN) {				keep_response = true;				*errnop = errno = ERANGE;				goto done;			}		}	} else {		/* We've been called again */		ret = fill_grent(result, &response.data.gr,				 (char *)response.extra_data.data, &buffer,				 &buflen);		if (ret == NSS_STATUS_TRYAGAIN) {			keep_response = true;			*errnop = errno = ERANGE;			goto done;		}		keep_response = false;		*errnop = 0;	}	winbindd_free_response(&response);	done:#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getgrgid %d returns %s (%d)\n", getpid(),		(unsigned int)gid, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* Initialise supplementary groups */NSS_STATUS_nss_winbind_initgroups_dyn(char *user, gid_t group, long int *start,			    long int *size, gid_t **groups, long int limit,			    int *errnop){	NSS_STATUS ret;	struct winbindd_request request;	struct winbindd_response response;	int i;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: initgroups %s (%d)\n", getpid(),		user, group);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	ZERO_STRUCT(request);	ZERO_STRUCT(response);	strncpy(request.data.username, user,		sizeof(request.data.username) - 1);	ret = winbindd_request_response(WINBINDD_GETGROUPS, &request, &response);	if (ret == NSS_STATUS_SUCCESS) {		int num_gids = response.data.num_entries;		gid_t *gid_list = (gid_t *)response.extra_data.data;#ifdef DEBUG_NSS		fprintf(stderr, "[%5d]: initgroups %s: got NSS_STATUS_SUCCESS "				"and %d gids\n", getpid(),				user, num_gids);#endif		if (gid_list == NULL) {			ret = NSS_STATUS_NOTFOUND;			goto done;		}		/* Copy group list to client */		for (i = 0; i < num_gids; i++) {#ifdef DEBUG_NSS			fprintf(stderr, "[%5d]: initgroups %s (%d): "					"processing gid %d \n", getpid(),					user, group, gid_list[i]);#endif			/* Skip primary group */			if (gid_list[i] == group) {				continue;			}			/* Filled buffer ? If so, resize. */			if (*start == *size) {				long int newsize;				gid_t *newgroups;				newsize = 2 * (*size);				if (limit > 0) {					if (*size == limit) {						goto done;					}					if (newsize > limit) {						newsize = limit;					}				}				newgroups = (gid_t *)					realloc((*groups),						newsize * sizeof(**groups));				if (!newgroups) {					*errnop = ENOMEM;					ret = NSS_STATUS_NOTFOUND;					goto done;				}				*groups = newgroups;				*size = newsize;			}			/* Add to buffer */			(*groups)[*start] = gid_list[i];			*start += 1;		}	}	/* Back to your regularly scheduled programming */ done:#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: initgroups %s returns %s (%d)\n", getpid(),		user, nss_err_str(ret), ret);#endif#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* return a list of group SIDs for a user SID */NSS_STATUS_nss_winbind_getusersids(const char *user_sid, char **group_sids,			 int *num_groups,			 char *buffer, size_t buf_size, int *errnop){	NSS_STATUS ret;	struct winbindd_request request;	struct winbindd_response response;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: getusersids %s\n", getpid(), user_sid);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	ZERO_STRUCT(request);	ZERO_STRUCT(response);	strncpy(request.data.sid, user_sid,sizeof(request.data.sid) - 1);	request.data.sid[sizeof(request.data.sid) - 1] = '\0';	ret = winbindd_request_response(WINBINDD_GETUSERSIDS, &request, &response);	if (ret != NSS_STATUS_SUCCESS) {		goto done;	}	if (buf_size < response.length - sizeof(response)) {		ret = NSS_STATUS_TRYAGAIN;		errno = *errnop = ERANGE;		goto done;	}	*num_groups = response.data.num_entries;	*group_sids = buffer;	memcpy(buffer, response.extra_data.data, response.length - sizeof(response));	errno = *errnop = 0; done:	winbindd_free_response(&response);#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* map a user or group name to a SID string */NSS_STATUS_nss_winbind_nametosid(const char *name, char **sid, char *buffer,		       size_t buflen, int *errnop){	NSS_STATUS ret;	struct winbindd_response response;	struct winbindd_request request;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: nametosid %s\n", getpid(), name);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	ZERO_STRUCT(response);	ZERO_STRUCT(request);	strncpy(request.data.name.name, name,		sizeof(request.data.name.name) - 1);	request.data.name.name[sizeof(request.data.name.name) - 1] = '\0';	ret = winbindd_request_response(WINBINDD_LOOKUPNAME, &request, &response);	if (ret != NSS_STATUS_SUCCESS) {		*errnop = errno = EINVAL;		goto failed;	}	if (buflen < strlen(response.data.sid.sid)+1) {		ret = NSS_STATUS_TRYAGAIN;		*errnop = errno = ERANGE;		goto failed;	}	*errnop = errno = 0;	*sid = buffer;	strcpy(*sid, response.data.sid.sid);failed:	winbindd_free_response(&response);#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* map a sid string to a user or group name */NSS_STATUS_nss_winbind_sidtoname(const char *sid, char **name, char *buffer,		       size_t buflen, int *errnop){	NSS_STATUS ret;	struct winbindd_response response;	struct winbindd_request request;	static char sep_char;	unsigned needed;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: sidtoname %s\n", getpid(), sid);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	ZERO_STRUCT(response);	ZERO_STRUCT(request);	/* we need to fetch the separator first time through */	if (!sep_char) {		ret = winbindd_request_response(WINBINDD_INFO, &request, &response);		if (ret != NSS_STATUS_SUCCESS) {			*errnop = errno = EINVAL;			goto failed;		}		sep_char = response.data.info.winbind_separator;		winbindd_free_response(&response);	}	strncpy(request.data.sid, sid,		sizeof(request.data.sid) - 1);	request.data.sid[sizeof(request.data.sid) - 1] = '\0';	ret = winbindd_request_response(WINBINDD_LOOKUPSID, &request, &response);	if (ret != NSS_STATUS_SUCCESS) {		*errnop = errno = EINVAL;		goto failed;	}	needed =		strlen(response.data.name.dom_name) +		strlen(response.data.name.name) + 2;	if (buflen < needed) {		ret = NSS_STATUS_TRYAGAIN;		*errnop = errno = ERANGE;		goto failed;	}	snprintf(buffer, needed, "%s%c%s",		 response.data.name.dom_name,		 sep_char,		 response.data.name.name);	*name = buffer;	*errnop = errno = 0;failed:	winbindd_free_response(&response);#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* map a sid to a uid */NSS_STATUS_nss_winbind_sidtouid(const char *sid, uid_t *uid, int *errnop){	NSS_STATUS ret;	struct winbindd_response response;	struct winbindd_request request;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: sidtouid %s\n", getpid(), sid);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	ZERO_STRUCT(request);	ZERO_STRUCT(response);	strncpy(request.data.sid, sid, sizeof(request.data.sid) - 1);	request.data.sid[sizeof(request.data.sid) - 1] = '\0';	ret = winbindd_request_response(WINBINDD_SID_TO_UID, &request, &response);	if (ret != NSS_STATUS_SUCCESS) {		*errnop = errno = EINVAL;		goto failed;	}	*uid = response.data.uid;failed:#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* map a sid to a gid */NSS_STATUS_nss_winbind_sidtogid(const char *sid, gid_t *gid, int *errnop){	NSS_STATUS ret;	struct winbindd_response response;	struct winbindd_request request;#ifdef DEBUG_NSS	fprintf(stderr, "[%5d]: sidtogid %s\n", getpid(), sid);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	ZERO_STRUCT(request);	ZERO_STRUCT(response);	strncpy(request.data.sid, sid, sizeof(request.data.sid) - 1);	request.data.sid[sizeof(request.data.sid) - 1] = '\0';	ret = winbindd_request_response(WINBINDD_SID_TO_GID, &request, &response);	if (ret != NSS_STATUS_SUCCESS) {		*errnop = errno = EINVAL;		goto failed;	}	*gid = response.data.gid;failed:#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* map a uid to a SID string */NSS_STATUS_nss_winbind_uidtosid(uid_t uid, char **sid, char *buffer,		      size_t buflen, int *errnop){	NSS_STATUS ret;	struct winbindd_response response;	struct winbindd_request request;#ifdef DEBUG_NSS	fprintf(stderr, "[%5u]: uidtosid %u\n", (unsigned int)getpid(), (unsigned int)uid);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	ZERO_STRUCT(response);	ZERO_STRUCT(request);	request.data.uid = uid;	ret = winbindd_request_response(WINBINDD_UID_TO_SID, &request, &response);	if (ret != NSS_STATUS_SUCCESS) {		*errnop = errno = EINVAL;		goto failed;	}	if (buflen < strlen(response.data.sid.sid)+1) {		ret = NSS_STATUS_TRYAGAIN;		*errnop = errno = ERANGE;		goto failed;	}	*errnop = errno = 0;	*sid = buffer;	strcpy(*sid, response.data.sid.sid);failed:	winbindd_free_response(&response);#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}/* map a gid to a SID string */NSS_STATUS_nss_winbind_gidtosid(gid_t gid, char **sid, char *buffer,		      size_t buflen, int *errnop){	NSS_STATUS ret;	struct winbindd_response response;	struct winbindd_request request;#ifdef DEBUG_NSS	fprintf(stderr, "[%5u]: gidtosid %u\n", (unsigned int)getpid(), (unsigned int)gid);#endif#if HAVE_PTHREAD	pthread_mutex_lock(&winbind_nss_mutex);#endif	ZERO_STRUCT(response);	ZERO_STRUCT(request);	request.data.gid = gid;	ret = winbindd_request_response(WINBINDD_GID_TO_SID, &request, &response);	if (ret != NSS_STATUS_SUCCESS) {		*errnop = errno = EINVAL;		goto failed;	}	if (buflen < strlen(response.data.sid.sid)+1) {		ret = NSS_STATUS_TRYAGAIN;		*errnop = errno = ERANGE;		goto failed;	}	*errnop = errno = 0;	*sid = buffer;	strcpy(*sid, response.data.sid.sid);failed:	winbindd_free_response(&response);#if HAVE_PTHREAD	pthread_mutex_unlock(&winbind_nss_mutex);#endif	return ret;}

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 15 January 2010 18:17

Просмотрел я исходник winbind_nss_linux.c.

Что-то создание пользователя я там не нашёл...

Работа идёт всё время с кэшем. Под конец только "map a uid to a SID string ". Это разве и есть создание пользователя?

Прилагаю весь текст исходника (может, я что-то не понял?):

Для подробного просмотра кода требуется немалое время. Очевидно, что для решения большинства задач используется обращение к даемону winbind.

Виртуальные (очевидно, не системные) пользователи, видимо, создаются тоже этим даемоном.

Вам этот код важен прежде всего, как пример программы nss. Нужно узнать из документации какие nss функции достаточно реализовать для баз passwd и group. А создать виртуального, или, если захотите, даже системного пользователя можно, например, прямым изменением файлов.

Конечная задача - обеспечить нужной информацией вызовы

getent passwd

getent group

Share this post


Link to post
Share on other sites

Т.е. нужно искать файлы, в которых есть:

getent passwd

getent group

?

Кстати, а какую группу вин.сервер может вернуть на запрос Линукса?

Я так понимаю, что создаваемые локальные пользователи в рассматриваемом случае должны будут входить в группы, которые я укажу в настройке для вновь создаваемых пользователей. Или я что-то не так понимаю?

Я пробежался ранее по содержаниям всех исходников и заподозрил следующие:

source4/libnet/libnet_user.c

source3/lib/netapi/examples/user/user_add.c

source3/lib/netapi/examples/user/user_del.c

source4/libnet/userman.c

source3/winbindd/winbindd_user.c

Если у Вас есть исходники, то ни могли бы Вы их проверить на наличие искомой информации (они небольшие, особенно user_add.c и user_del.c, и если знать, что искать, то разве поиск по схеме "нет"-"может быть" займёт много времени)?

Share this post


Link to post
Share on other sites

CAEman писал(а) Fri, 22 January 2010 13:48

Т.е. нужно искать файлы, в которых есть:

getent passwd

getent group

?

Неeeeeeeт

getent - это утилита, запускаемая из командной строки, и возвращающая информацию, находящуюся в соответствующих системных базах (в Вашем случае passwd и group). Выбор базы происходит посредством nss.

Соответсвенно, если Вы пишете nss модуль, то Ваша конечная проверка того, что Вы написали и подключили, осуществляется через вызов getent.

Цитата:

Кстати, а какую группу вин.сервер может вернуть на запрос Линукса?

Я так понимаю, что создаваемые локальные пользователи в рассматриваемом случае должны будут входить в группы, которые я укажу в настройке для вновь создаваемых пользователей. Или я что-то не так понимаю?

Если АД не настроен спициально для обслуживания юникс пользователей, но он не может дать ни uid ни gid. Это вместо него и должа нелать nss.

Цитата:

Я пробежался ранее по содержаниям всех исходников и заподозрил следующие:

source4/libnet/libnet_user.c

source3/lib/netapi/examples/user/user_add.c

source3/lib/netapi/examples/user/user_del.c

source4/libnet/userman.c

source3/winbindd/winbindd_user.c

Если у Вас есть исходники, то ни могли бы Вы их проверить на наличие искомой информации (они небольшие, особенно user_add.c и user_del.c, и если знать, что искать, то разве поиск по схеме "нет"-"может быть" займёт много времени)?

Я не вижу смысла перерывать эти исходники. Разве что для ознакомления.

Я думаю, Вам следует изучить логику работы pam и nss. Тогда, во-первых, Вы не будете задавать вопросы, которые обречены остаться без ответа, а во-вторых, сможете попробовать разные схемы решения Вашей задачи. Очень вероятно, что существует и более приемлемомое решение, чем предложенное мной.

Например, можно поэксперементировать с найденной Вами pam-scripts.

Share this post


Link to post
Share on other sites

Сумел заставить заработать ldapsearch (нужно cn=user,cn=users,dc=domain - если бы повнимательнее читал http://developer.novell.com/wiki/index.php/HOWTO:_Configure_ Ubuntu_for_Active_Directory_Authentication, то не потерял бы столько времени...). В следующий раз попробую вспомнить всё что там было про авторизацию с помощью LDAP и что-нибудь сделать с его помощью.

Если знаете какие моменты с такой авторизацией, на которые следует обратить особое внимание, то напишите, пожалуйста.

Share this post


Link to post
Share on other sites

ldapsearch заработал, но когда стал действовать по упомянутому в прошлом сообщении руководству, то получил:

"

~ # ldapsearch -x -D CN=user,CN=Users,DC=domain -W "(objectClass=posixAccount)" sAMAccountName

Enter LDAP Password:

# extended LDIF

#

# LDAPv3

# base <dc=domain> (default) with scope subtree

# filter: (objectClass=posixAccount)

# requesting: sAMAccountName

#

# search result

search: 2

result: 0 Success

# numResponses: 1

"

Это означает, что данный пользователь не может самого себя обнаружить на сервере, или я чего не допонимаю (в указанном руководстве создаётся пользователь на сервере или, вообще, локальный - там не совсем ясно написано)?

Зато работает следующее:

"

~ # ldapsearch -v -x -D CN=user,CN=Users,DC=domain -W -LLL "(cn=user)"

ldap_initialize( <DEFAULT> )

Enter LDAP Password:

filter: (cn=user)

requesting: All userApplication attributes

dn: CN=user,CN=Users,DC=domain

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: user

cn: user

distinguishedName: CN=user,CN=Users,DC=domain

instanceType: 4

whenCreated: 20071003134645.0Z

whenChanged: 20100212095526.0Z

displayName:: 0J/QtdGA0LXQutGA0LXRgdGC0L7QsiDQkNC90LTRgNC10Lkg0J/QtdGC0YDQ vtCy

0LjRhw==

uSNCreated: 389673

memberOf: CN=group,CN=Users,DC=domain

uSNChanged: 44764302

name: user

objectGUID:: TTTD/aBhEE6PxsIlWWxZoA==

userAccountControl: 66048

badPwdCount: 0

codePage: 0

countryCode: 0

homeDirectory: \\server\users\personal\user

homeDrive: Z:

badPasswordTime: 129104512781569552

lastLogoff: 0

lastLogon: 129110472236388768

pwdLastSet: 128880768398237296

primaryGroupID: 513

objectSid:: AQUAAAAAAAUVAAAAVnD5YpbP+W9E8DV3OXwAAA==

accountExpires: 0

logonCount: 733

sAMAccountName: user

sAMAccountType: 805306368

objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=domain

lastLogonTimestamp: 129104421266577456

"

И с "(cn=*)" тоже работает с выводом всех пользователей (вернее с, естественно, "Size limit exceeded (4)" в конце).

Т.е. простой пользователь с помощью ldap имеет доступ к спискам пользователей AD. Можно это будет как-нибудь использовать для авторизации на сервере с применением введённых имени и пароля и без предварительного создания локального пользователя?

Попробовал "$ ssh user@localhost" по совету ранее упомянутого руководства. В результате вновь и вновь выдаётся строка с требованием ввода пароля (пока не прервёшь), а в /var/log/messages записывается следующая информация:

"

sshd[7005]: nss_ldap: could not search LDAP server - Server is unavailable

sshd[7005]: Invalid user user from 127.0.0.1

sshd[7010]: pam_krb5[7010]: default/local realm 'DOMAIN'

sshd[7010]: pam_krb5[7010]: configured realm 'DOMAIN'

sshd[7010]: pam_krb5[7010]: flag: debug

sshd[7010]: pam_krb5[7010]: flags: forwardable not proxiable

sshd[7010]: pam_krb5[7010]: flag: no ignore_afs

sshd[7010]: pam_krb5[7010]: flag: no null_afs

sshd[7010]: pam_krb5[7010]: flag: user_check

sshd[7010]: pam_krb5[7010]: flag: no krb4_convert

sshd[7010]: pam_krb5[7010]: flag: krb4_convert_524

sshd[7010]: pam_krb5[7010]: flag: krb4_use_as_req

sshd[7010]: pam_krb5[7010]: will try previously set password first

sshd[7010]: pam_krb5[7010]: will let libkrb5 ask questions

sshd[7010]: pam_krb5[7010]: flag: use_shmem

sshd[7010]: pam_krb5[7010]: flag: external

sshd[7010]: pam_krb5[7010]: flag: warn

sshd[7010]: pam_krb5[7010]: ticket lifetime: 43200s (0d,12h,0m,0s)

sshd[7010]: pam_krb5[7010]: renewable lifetime: 86400s (1d,0h,0m,0s)

sshd[7010]: pam_krb5[7010]: minimum uid: 1

sshd[7010]: pam_krb5[7010]: banner: Kerberos 5

sshd[7010]: pam_krb5[7010]: ccache dir: /tmp

sshd[7010]: pam_krb5[7010]: ccname template: FILE:%d/krb5cc_%U_XXXXXX

sshd[7010]: pam_krb5[7010]: keytab: FILE:/etc/krb5.keytab

sshd[7010]: pam_krb5[7010]: token strategy: v4,524,2b,rxk5

sshd[7010]: pam_krb5[7010]: pam_authenticate called for 'user', realm 'DOMAIN'

sshd[7010]: nss_ldap: could not search LDAP server - Server is unavailable

sshd[7010]: pam_krb5[7010]: error resolving user name 'user' to uid/gid pair

sshd[7010]: pam_krb5[7010]: error getting information about 'user'

sshd[7010]: nss_ldap: could not search LDAP server - Server is unavailable

"

А после ввода пароля добавляется:

"

sshd[7142]: error: PAM: Authentication failure for illegal user user from localhost

sshd[7142]: Failed keyboard-interactive/pam for invalid user user from 127.0.0.1 port 45307 ssh2

sshd[7148]: pam_krb5[7148]: default/local realm 'DOMAIN'

sshd[7148]: pam_krb5[7148]: configured realm 'DOMAIN'

sshd[7148]: pam_krb5[7148]: flag: debug

sshd[7148]: pam_krb5[7148]: flags: forwardable not proxiable

sshd[7148]: pam_krb5[7148]: flag: no ignore_afs

sshd[7148]: pam_krb5[7148]: flag: no null_afs

sshd[7148]: pam_krb5[7148]: flag: user_check

sshd[7148]: pam_krb5[7148]: flag: no krb4_convert

sshd[7148]: pam_krb5[7148]: flag: krb4_convert_524

sshd[7148]: pam_krb5[7148]: flag: krb4_use_as_req

sshd[7148]: pam_krb5[7148]: will try previously set password first

sshd[7148]: pam_krb5[7148]: will let libkrb5 ask questions

sshd[7148]: pam_krb5[7148]: flag: use_shmem

sshd[7148]: pam_krb5[7148]: flag: external

sshd[7148]: pam_krb5[7148]: flag: warn

sshd[7148]: pam_krb5[7148]: ticket lifetime: 43200s (0d,12h,0m,0s)

sshd[7148]: pam_krb5[7148]: renewable lifetime: 86400s (1d,0h,0m,0s)

sshd[7148]: pam_krb5[7148]: minimum uid: 1

sshd[7148]: pam_krb5[7148]: banner: Kerberos 5

sshd[7148]: pam_krb5[7148]: ccache dir: /tmp

sshd[7148]: pam_krb5[7148]: ccname template: FILE:%d/krb5cc_%U_XXXXXX

sshd[7148]: pam_krb5[7148]: keytab: FILE:/etc/krb5.keytab

sshd[7148]: pam_krb5[7148]: token strategy: v4,524,2b,rxk5

sshd[7148]: pam_krb5[7148]: pam_authenticate called for 'user', realm 'DOMAIN'

sshd[7148]: nss_ldap: could not search LDAP server - Server is unavailable

sshd[7148]: pam_krb5[7148]: error resolving user name 'user' to uid/gid pair

sshd[7148]: pam_krb5[7148]: error getting information about 'user'

sshd[7148]: nss_ldap: could not search LDAP server - Server is unavailable

"

Почему ldapsearch обнаруживает сервер, a nss_ldap - нет? Может, в какой-нибудь конфигурации следует как-то прописать правильный синтаксис запроса (CN=user,CN=Users,DN=domain)?

Если бы сервер был обнаружен, то локальный пользователь, одноимённый серверному, должен был бы создаться?

Share this post


Link to post
Share on other sites

Решился наконец написать РАМ модуль.

     #define _XOPEN_SOURCE // Включаем необходимые (хотя и не исключаю, что здесь есть и лишние) заголовочные файлы.#include <security/pam_modules.h>#include <security/pam_appl.h>#include <sys/types.h>#include <pwd.h>#include <stdarg.h>#include <time.h>#include <ldap.h>#include <stdlib.h>#include <stdio.h>     #include <stddef.h>     #include <unistd.h>     #include <sys/wait.h>//Это определит тип нашего модуля#define PAM_SM_AUTH#define MAX_V 30// Реализуем наш алгоритм авторизации.PAM_EXTERN int pam_sm_authenticate(pam_handle_t * pamh, int flags, int argc, const char **argv){		unsigned int ctrl;		int retval, result;		const char *name;		/* получим имя пользователя */		// Получаем имя пользователя		// Вся мудрость PAM в том, что приглашение "login: " появится если имя еще не известно,		// иначе мы сразу получим ответ, сгенерированный предыдущими модулями.		result = pam_get_user(pamh, &name, "login: ");	if (!strcmp(name, "root")) {		return PAM_SUCCESS;	//Делаем игнорирование для root'a	}	else		{/*получим пароль используя диалог*/		   struct pam_response *resp;// Сами мы не знаем как будет осущестляться диалог, это забота программы (в нашем случае этим займется login).		{				struct pam_conv *conv;				struct pam_message msg[] = {{					PAM_PROMPT_ECHO_OFF,					"Password: "				}};				const struct pam_message *mess = msg;				retval = pam_get_item( pamh, PAM_CONV, (const void **) &conv ) ;				if (!conv->conv) 					return PAM_SUCCESS;				conv->conv(1, &mess, &resp, conv->appdata_ptr);		}	char * dn = "CN=%s,CN=Users,DC=domain";	char * dnx = malloc(strlen(dn)+strlen(name)+2);	int res = 0;	sprintf(dnx, dn, name);// Авторизируемся на LDAP сервере по имени LDAPserver путём проверки возможности соединения с ним с введёнными именем и паролем	res = ldap_simple_bind_s(				ldap_init("LDAPserver.domain", 389),				dnx,				resp->resp);		free(dnx);	if (!res)  {// В случае удачной авторизацииif (!result)// При отсутствии такого локального пользователя{// СОЗДАЁМ ПОЛЬЗОВАТЕЛЯ     // Execute the command using this shell program.       #define SHELL "/bin/sh"     int     my_system (const char *command)     {       int status;       pid_t pid;       pid = fork ();       if (pid == 0)         {           // This is the child process.  Execute the shell command.            execl (SHELL, SHELL, "-c", command, NULL);           _exit (EXIT_FAILURE);         }       else if (pid < 0)         // The fork failed.  Report failure.           status = -1;       else         // This is the parent process.  Wait for the child to complete.           if (waitpid (pid, &status, 0) != pid)           status = -1;       return status;     }	char stroke[333];	sprintf(stroke,"%s %s %s","/usr/sbin/useradd -p",crypt(resp->resp,"aa"),name);	my_system(stroke);// Передаём результат удачной авторизации после создания пользователя	return PAM_SUCCESS;}else// Передаём результат удачной авторизации	return PAM_SUCCESS;		}		else			return PAM_AUTH_ERR;// Нашим результатом будет да или нет. Как прервать программу разберется основной модуль PAM.	}}/* * The only thing _pam_set_credentials_unix() does is initialization of * UNIX group IDs. * * Well, everybody but me on linux-pam is convinced that it should not * initialize group IDs, so I am not doing it but don't say that I haven't * warned you. -- AOY */PAM_EXTERN int pam_sm_setcred(pam_handle_t * pamh, int flags, int argc, const char **argv){        unsigned int ctrl;        int retval;        retval = PAM_SUCCESS;        return retval;}// Это определение необходимо для статической линковки модулей PAM в приложениях.#ifdef PAM_STATICstruct pam_module _pam_unix_auth_modstruct = {    "pam_LDAPserver",    pam_sm_authenticate,    pam_sm_setcred,    NULL,    NULL,    NULL,    NULL,};#endif

Скомпилировал командой:

gcc ./pam_LDAPserver.c -lcrypt -lldap -fPIC --shared -o pam_LDAPserver.so

Скопировал pam_LDAPserver.so в /lib64/security

Вставил в common-auth перед "auth required pam_unix2.so nullok" строку:

auth required pam_LDAPserver.so

ВСЁ РАБОТАЕТ (не забываем о "session required pam_mkhomedir.so umask=0022 skel=/etc/skel")!

Решился наконец написать РАМ модуль.

	 #define _XOPEN_SOURCE // Включаем необходимые (хотя и не исключаю, что здесь есть и лишние) заголовочные файлы.#include <security/pam_modules.h>#include <security/pam_appl.h>#include <sys/types.h>#include <pwd.h>#include <stdarg.h>#include <time.h>#include <ldap.h>#include <stdlib.h>#include <stdio.h>	 #include <stddef.h>	 #include <unistd.h>	 #include <sys/wait.h>//Это определит тип нашего модуля#define PAM_SM_AUTH#define MAX_V 30// Реализуем наш алгоритм авторизации.PAM_EXTERN int pam_sm_authenticate(pam_handle_t * pamh, int flags, int argc, const char **argv){		unsigned int ctrl;		int retval, result;		const char *name;		/* получим имя пользователя */		// Получаем имя пользователя		// Вся мудрость PAM в том, что приглашение "login: " появится если имя еще не известно,		// иначе мы сразу получим ответ, сгенерированный предыдущими модулями.		result = pam_get_user(pamh, &name, "login: ");	if (!strcmp(name, "root")) {		return PAM_SUCCESS;	//Делаем игнорирование для root'a	}	else		{/*получим пароль используя диалог*/		   struct pam_response *resp;// Сами мы не знаем как будет осущестляться диалог, это забота программы (в нашем случае этим займется login).		{				struct pam_conv *conv;				struct pam_message msg[] = {{					PAM_PROMPT_ECHO_OFF,					"Password: "				}};				const struct pam_message *mess = msg;				retval = pam_get_item( pamh, PAM_CONV, (const void **) &conv );				if (!conv->conv) 					return PAM_SUCCESS;				conv->conv(1, &mess, &resp, conv->appdata_ptr);		}	char * dn = "CN=%s,CN=Users,DC=domain";	char * dnx = malloc(strlen(dn)+strlen(name)+2);	int res = 0;	sprintf(dnx, dn, name);// Авторизируемся на LDAP сервере по имени LDAPserver путём проверки возможности соединения с ним с введёнными именем и паролем	res = ldap_simple_bind_s(				ldap_init("LDAPserver.domain", 389),				dnx,				resp->resp);		free(dnx);	if (!res)  {// В случае удачной авторизацииif (!result)// При отсутствии такого локального пользователя{// СОЗДАЁМ ПОЛЬЗОВАТЕЛЯ	 // Execute the command using this shell program.  	 #define SHELL "/bin/sh"	 int	 my_system (const char *command)	 {	   int status;	   pid_t pid;	   pid = fork ();	   if (pid == 0)		 {		   // This is the child process.  Execute the shell command. 		   execl (SHELL, SHELL, "-c", command, NULL);		   _exit (EXIT_FAILURE);		 }	   else if (pid < 0)		 // The fork failed.  Report failure.  		 status = -1;	   else		 // This is the parent process.  Wait for the child to complete.  		 if (waitpid (pid, &status, 0) != pid)		   status = -1;	   return status;	 }	char stroke[333];	sprintf(stroke,"%s %s %s","/usr/sbin/useradd -p",crypt(resp->resp,"aa"),name);	my_system(stroke);// Передаём результат удачной авторизации после создания пользователя	return PAM_SUCCESS;}else// Передаём результат удачной авторизации	return PAM_SUCCESS;		}		else			return PAM_AUTH_ERR;// Нашим результатом будет да или нет. Как прервать программу разберется основной модуль PAM.	}}/* * The only thing _pam_set_credentials_unix() does is initialization of * UNIX group IDs. * * Well, everybody but me on linux-pam is convinced that it should not * initialize group IDs, so I am not doing it but don't say that I haven't * warned you. -- AOY */PAM_EXTERN int pam_sm_setcred(pam_handle_t * pamh, int flags, int argc, const char **argv){		unsigned int ctrl;		int retval;		retval = PAM_SUCCESS;		return retval;}// Это определение необходимо для статической линковки модулей PAM в приложениях.#ifdef PAM_STATICstruct pam_module _pam_unix_auth_modstruct = {	"pam_LDAPserver",	pam_sm_authenticate,	pam_sm_setcred,	NULL,	NULL,	NULL,	NULL,};#endif

Скомпилировал командой:

gcc ./pam_LDAPserver.c -lcrypt -lldap -fPIC --shared -o pam_LDAPserver.so

Скопировал pam_LDAPserver.so в /lib64/security

Вставил в common-auth перед "auth required pam_unix2.so nullok" строку:

auth required pam_LDAPserver.so

ВСЁ РАБОТАЕТ (не забываем о "session required pam_mkhomedir.so umask=0022 skel=/etc/skel")!

Справился я таки с pam_mount нескольких ресурсов. Правда, только с помощью fstab...

Имеем login следующего содержания:

"

#%PAM-1.0

auth requisite pam_nologin.so

auth [user_unknown=ignore success=ok ignore=ignore auth_err=die default=bad] pam_securetty.so

auth required pam_mount.so

auth include common-auth

password include common-password

account include common-account

session include common-session

session required pam_mkhomedir.so umask=0022 skel=/etc/skel

session optional pam_mount.so

session required pam_loginuid.so

session required pam_lastlog.so nowtmp

session optional pam_mail.so standard

session optional pam_ck_connector.so

"

Добавляем в начало fstab монтируемые ресурсы:

//server/share /home/%(USER)/share cifs noauto,nosuid,nodev,user=%(USER),uid=%(USERUID),gid=%(USERGI D) 0 0

//server/users/%(USER) /home/%(USER)/Documents cifs noauto,nosuid,nodev,user=%(USER),uid=%(USERUID),gid=%(USERGI D) 0 0

Добавляем в pam_mount.conf.xml:

<volume path="//server/share" uid="1000-55555" />

<volume path="//server/users/%(USER)" uid="1000-55555" />

Изменяем начало (до %(VOLUME) ) значения lclmount на:

mount -t cifs

и монтирование (с размонтированием) начинает работать!

P.S. Поскольку эта тема, судя по всему, не вызывает больше ни у кого интереса, постольку следить за ней я перестаю.

Так что, если она у кого вдруг вызывет интерес, и у него появятся какие-либо вопросы, - советую попробовать создать новую тему.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...