Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Problem mit PAM

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
pooner
Newbie
Newbie
Beiträge: 12
Registriert: 18. Aug 2005, 13:28

Problem mit PAM

Beitrag von pooner »

Hallo Leute,

habe es geschafft, habe einen Samba in die Domäne gehangen und bekomme alle Benutzer und Gruppen angezeigt :-)

Die Domänen-Benutzer können sich auch mit einer Shell per ssh einloggen, habe einfach die /etc/pam.d/sshd editiert.

Jetzt zu meinem Problem, ich schaffe es einfach nicht das für jeden Benutzer ein Home Verzeichnis angelegt wird. hier meine Konfiguration:

Samba-Config:
template shell = /bin/bash
template homedir = /home/winnt/%D/%U

Das Verzeichnis /home/winnt existiert auch schon zum testen erst mal mit 0777. Wie muss ich jetzt die pam.d/samba konfigurieren, damit automatisch ein Home-Directory erstellt wird ????


Wäre für jede Hilfe dankbar
baumpaul
Hacker
Hacker
Beiträge: 270
Registriert: 14. Mär 2005, 23:05

Beitrag von baumpaul »

Ähhh... ich weiß nicht, .......
Normalerweise werden ja Samba-User auf Linux-User gemappt, oder ?
Dann währe ja der normale weg über die /etc/passwd.
Warum versuchst du es so ?
Linux? keine Ahnung !
Ich bin hier, weil ich dazulernen möchte.
pooner
Newbie
Newbie
Beiträge: 12
Registriert: 18. Aug 2005, 13:28

Beitrag von pooner »

Nein, habe einen DomainController und einen Samba mit winbind am laufen. Der Samba hängt in der Domäne, ich bekomme alle Domänen-Benutzer und Gruppen und kann mich jetzt auch schon per ssh durch die Editierung der "/etc/pam.d/sshd " einloggen. das einzige was noch nicht klappt ist das automatische anlegen der Home-Directories auf dem Samba. Samba-Config siehe oben. Ich vermute das dies ein pam-confi oder ein Rechte-Problem ist. Hat jemand eine Idee dazu ???
Dr. Glastonbury
Advanced Hacker
Advanced Hacker
Beiträge: 1149
Registriert: 20. Aug 2004, 12:27
Wohnort: München
Kontaktdaten:

Beitrag von Dr. Glastonbury »

Habe so ziehmlich das gleiche Problem,
bei der gelelgenheit auch noch eine Frage: Ich hab das ganze nach nem HowTo auf nem Testrechner probiert und es hat auch soweit alles geklappt: man kann sich auf der Bash anmelden und wenn das /home händisch erstellt wird auch auf der grafischen Oberfläche...

Aber ich weiß noch nicht ganz, was man eigentlich in der /etc/pam.d/login eintragen muss. Laut HowTo hab ich die beiden Zeilen

Code: Alles auswählen

auth sufficient pam_winbind.so
account sufficient pam_winbind.so
eingefügt. Aber was bewirkt das? Ich möchte nämlich nicht, dass ich damit eine Sicherheitslücke öffne....
Das Leben: hasse oder ignoriere es, lieben kannst du es nicht.
pooner
Newbie
Newbie
Beiträge: 12
Registriert: 18. Aug 2005, 13:28

Beitrag von pooner »

also login dient nur fürs lokale login.
auth --> zur Authentifizierung des Benutzers, zum Beispiel durch Erfragen und Überprüfen des Passworts und Einstellen von Berechtigungsmerkmalen, wie z.B. Mitgliedschaft in einer Gruppe oder Kerberos-Tickets
account --> zum Überprüfen, ob der Zugriff erlaubt ist. Zum Beispiel, ob der Account abgelaufen ist, oder ob der Benutzer zur Anmeldung um diese Uhrzeit zugelassen ist
required --> gekennzeichnete Module müssen erfolgreich überprüft werden, bevor die Authentifizierung erfolgen kann. Wenn ein required Modul Fehler entdeckt, wird der Benutzer dann darüber informiert, wenn auch alle anderen Module des gleichen Modultyps überprüft worden sind
sufficient --> bei gekennzeichneten Modulen werden Fehler ignoriert. Wenn ein sufficient Modul jedoch erfolgreich überprüft wurde, und kein required Modul fehlschlägt, werden keine weiteren Module dieses Modultyps überprüft, und dieser Modultyp gilt als erfolgreich überprüft.

Modul = winbind

Hoffe ich konnte helfen
Dr. Glastonbury
Advanced Hacker
Advanced Hacker
Beiträge: 1149
Registriert: 20. Aug 2004, 12:27
Wohnort: München
Kontaktdaten:

Beitrag von Dr. Glastonbury »

Jo,
du konntest helfen - wobei ich mich frage, ob es dann nicht sicherer wäre, wenn ich von sufficient auf required umstelle? Oder würde das heißen, dass dann sowohl das Modul für die lokale anmeldung als auch Winbind getesttet würden und somit überhaupt keine Anmeldung mehr möglich ist? Also nur weil aus meiner Sicht das ja nicht möglich ist - sich lokal anzumelden und dabei über winbind zu gehen <- konnte man das jetzt irgendwie verstehn? :lol:
Das Leben: hasse oder ignoriere es, lieben kannst du es nicht.
Antworten