[plamo:25202] Re: PAM, pam_ldap

[KATOH Yasufumi]

加藤泰文です．

>>> On Wed, 30 Mar 2005 00:22:51 +0900
    in message   "[plamo:25198] Re: PAM, pam_ldap"
                  TANAKA _FORZA_ Toshihisa-san wrote:

> 私も、そんなに詳しいわけではありませんが...f(^^;;;

ありがとうございます．ほぼご指名の質問ですみません．(^_^;)

> 私も、過去に色々漁ってみたのですが、PAM に関しては、ドキュメントの
> 整備があまり良くなさそうです。

この辺りドキュメントがまとまってないのが Linux の弱点と言えば弱点です
ねぇ．

> "Linux PAM" で google 先生に聞いてみた範疇では、↓等が参考になると
> 思います。

ありがとうございます．RedHat のドキュメントなんかは参考になりますね．
あと Plamo Linux Expert と，昔の今は無き Linux Japan の PAMの特集記事
 (これもかなり古いですが) なんかを参考にしています．

> >(3) session の記述
> >同じく Plamo Linux Expert の例を見ると，
> >  session required /lib/security/pam_limits.so
> >  session required /lib/security/pam_unix.so
> >とあります．ここの pam_unix はログイン成功時なんかにログを残す機能があ
> >るんだと思いますが，pam_ldap で認証が成功すると
> >| login(pam_unix)[3060]: authentication failure; logname= uid=0 euid=0
> >| tty=pts/3 ruser= rhost=localhost
> >なんてログが残ります．何か他に設定する場所があるのでしょうか?  
> >
> ぎょぎょ(?_?;;。

> うーん。でも謎です。Linux-PAM の pam_unix のソースを見る限り
> では、上記のメッセージは、session 前の、ユーザ認証時には出る
> 可能性があるのですが、session の段階では出ないはずなのです。

これ，おっしゃるように認証の段階で出ているっぽいですね．sshd の PAM の
設定がボケている可能性大ですね．今は "auth" は

auth       sufficient   /lib/security/pam_unix.so shadow
auth       sufficient   /lib/security/pam_ldap.so use_first_pass

となっていますが (auth の時に shadow ってのは不要かな？)，こうなってい
る限りは仕方がないのかな？

| sshd(pam_unix)[4244]: check pass; user unknown
| sshd(pam_unix)[4244]: authentication failure; logname= uid=0 euid=0
| tty=ssh ruser= rhost=localhost
こんな感じになりますね．

http://www.openssh.com/ja/faq.html#3.1 と関係あるのかなと思ってみまし
たが，特に設定しても変化ないですねぇ．

とりあえず LDAP 認証を先に済ませれば pam_unix には制御が移りませんから，

auth       sufficient   /lib/security/pam_ldap.so 
auth       sufficient   /lib/security/pam_unix.so use_first_pass

みたいにしましたが...

-- 
==============================================
((((    加藤泰文
○-○                karma @ jazz.email.ne.jp
==============================================
 (Web Page) http://park2.wakwak.com/%7Ekarma/
==============================================
  フランスの音楽のページを更新 (February 8)