Re: PAM-Frage

[Christoph Pleger <Christoph.Pleger@cs.tu-dortmund.de>]

Hallo,

> > In meiner Datei /etc/pam.d/common-auth verwende ich das Modul
> > pam_exec.so, welches ein Programm ausführt, wenn sich ein Benutzer
> > z.B. an tty1-6 einloggt. Warum wird das Modul nicht ausgeführt, wenn
> > sich ein Benutzer per ssh einloggt oder wenn ein Cronjob des
> > Benutzers ausgeführt wird, obwohl sowohl /etc/pam.d/sshd als auch
> > /etc/pam.d/cron die Datei /etc/pam.d/common-auth inkludieren?
> 
> wie sieht denn die common-auth jetzt aus?

#
# /etc/pam.d/common-auth - authentication settings common to all
# services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#
auth	required	pam_unix2.so nullok
#auth	optional	pam_krb5.so ignore_root use_first_pass
auth	optional	pam_exec.so debug /usr/local/sbin/auth
auth	optional	pam_group.so


Inzwischen habe ich festgestellt, dass sshd den auth-Teil nur ausführt,
wenn man sich mit Passwort anmeldet, aber nicht per authorized_keys. Ich
hatte gehofft, dass bei Anmeldung per authorized_keys nur die
Passwortabfrage entfällt. Leider soll das Skript /usr/local/sbin/auth
gerade dann ausgeführt werden, wenn man sich per authorized_keys
anmeldet. Das Skript besorgt nämlich per kinit ein Kerberos-Ticket für
den Benutzer. Wenn der Benutzer ein Passwort angibt, funktioniert das
aber auch über pam_krb5.so, dann braucht man das Skript also gar nicht.
Ich habe versucht, den Aufruf des auth-Skripts in common-account oder
common-session zu verschieben, aber aus einem mir bisher unbekannten
Grund wird das kinit dann anscheinend in einer Endlosschleife immer
wieder aufgerufen, frisst die Ressourcen auf und der Bash-Prompt
erscheint nie.

Viele Grüße
  Christoph