On Fri, 2005-03-04 at 21:04 +0100, Robert Rakowicz wrote:
Nils Philippsen <nphilipp(a)redhat.com> writes:
Hi,
> On Sun, 2005-02-06 at 10:51 +0100, Robert Rakowicz wrote:
> > Nils Philippsen <nphilipp(a)redhat.com> writes:
> >
> > Hi,
> >
> > > Schon mal versucht, ob es funktioniert, wenn Du authconfig verwendest
> > > anstatt die Konfigurationsdateien händisch zu ändern (und dabei
> > > vermutlich was zu vergessen ;-)? Du solltest übrigens nur in
> > > pam.d/system-auth etwas ändern müssen. Wenn Du wissen willst, was
> > > passiert, kannst Du den authconfig ja unter strace laufen lassen ;-).s
> >
> > an sich ein guter Vorschlag, bringt allerdings nur ein halben
> > Erfolg. $USER können sich anmelden und z.B Passwort ändern. Ein su -
> > $USER geht allerings nicht - falsches Kennwort.
>
> Irgendwas auffälliges in /var/log/secure bzw. messages?
Leider nicht.
>
> > Noch eine Idee? Übrigens authconfig hat u.a auch meine ldap.conf
> > verändert (RH/Fedora) war nicht so von dem Eintrag
> >
> > ,----
> > | uri ldap://host.domain.de
> > `----
>
> authconfig trägt den LDAP Server und die Search Base ein, ja.
Na ja, dafür gibt es aber kein mir bekanntes Grund. Ich kann zwar z.Z
ohne su - $AndererUser leben/arbeiten, schön finde ich es nicht und
würde mich ja auch sehr interessieren warum das nicht tut.
Versuch's mal hiermit als /etc/pam.d/system-auth:
---- 8< ----
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so
account required /lib/security/$ISA/pam_unix.so broken_shadow
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so
account required /lib/security/$ISA/pam_permit.so
password requisite /lib/security/$ISA/pam_cracklib.so retry=3 type=
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/$ISA/pam_ldap.so use_authtok
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
session optional /lib/security/$ISA/pam_ldap.so
---- >8 ----
und hiermit als /etc/pam.d/su:
---- 8< ----
#%PAM-1.0
auth sufficient /lib/security/$ISA/pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient /lib/security/$ISA/pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required /lib/security/$ISA/pam_wheel.so use_uid
auth required /lib/security/$ISA/pam_stack.so service=system-auth
account required /lib/security/$ISA/pam_stack.so service=system-auth
password required /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so close must be first session rule
session required /lib/security/$ISA/pam_selinux.so close
session required /lib/security/$ISA/pam_stack.so service=system-auth
# pam_selinux.so open and pam_xauth must be last two session rules
session required /lib/security/$ISA/pam_selinux.so open multiple
session optional /lib/security/$ISA/pam_xauth.so
---- >8 ----
HTH,
Nils
--
Nils Philippsen / Red Hat / nphilipp(a)redhat.com
"They that can give up essential liberty to obtain a little temporary
safety deserve neither liberty nor safety." -- B. Franklin, 1759
PGP fingerprint: C4A8 9474 5C4C ADE3 2B8F 656D 47D8 9B65 6951 3011