Re: PAM-Frage
Hallo,
> > In meiner Datei /etc/pam.d/common-auth verwende ich das Modul
> > pam_exec.so, welches ein Programm ausführt, wenn sich ein Benutzer
> > z.B. an tty1-6 einloggt. Warum wird das Modul nicht ausgeführt, wenn
> > sich ein Benutzer per ssh einloggt oder wenn ein Cronjob des
> > Benutzers ausgeführt wird, obwohl sowohl /etc/pam.d/sshd als auch
> > /etc/pam.d/cron die Datei /etc/pam.d/common-auth inkludieren?
>
> wie sieht denn die common-auth jetzt aus?
#
# /etc/pam.d/common-auth - authentication settings common to all
# services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
# traditional Unix authentication mechanisms.
#
auth required pam_unix2.so nullok
#auth optional pam_krb5.so ignore_root use_first_pass
auth optional pam_exec.so debug /usr/local/sbin/auth
auth optional pam_group.so
Inzwischen habe ich festgestellt, dass sshd den auth-Teil nur ausführt,
wenn man sich mit Passwort anmeldet, aber nicht per authorized_keys. Ich
hatte gehofft, dass bei Anmeldung per authorized_keys nur die
Passwortabfrage entfällt. Leider soll das Skript /usr/local/sbin/auth
gerade dann ausgeführt werden, wenn man sich per authorized_keys
anmeldet. Das Skript besorgt nämlich per kinit ein Kerberos-Ticket für
den Benutzer. Wenn der Benutzer ein Passwort angibt, funktioniert das
aber auch über pam_krb5.so, dann braucht man das Skript also gar nicht.
Ich habe versucht, den Aufruf des auth-Skripts in common-account oder
common-session zu verschieben, aber aus einem mir bisher unbekannten
Grund wird das kinit dann anscheinend in einer Endlosschleife immer
wieder aufgerufen, frisst die Ressourcen auf und der Bash-Prompt
erscheint nie.
Viele Grüße
Christoph
Reply to:
- References:
- PAM-Frage
- From: Christoph Pleger <Christoph.Pleger@cs.tu-dortmund.de>
- Re: PAM-Frage
- From: Daniel Bayer <daniel@halbordnung.de>