https://www.opennet.ru/openforum/vsluhforumID1/69268.html Тут по этой теме уже тонна написана. Перечитал всё. Всё равно не могу победить.<br><br>FreeBSD 6.1-RELEASE<br>Стоит OpenLDAP и всё что с этим связано.<br><br>cyrus-sasl-ldapdb-2.1.21 SASL LDAPDB auxprop plugin<br>nss_ldap-1.244 RFC 2307 NSS module<br>openldap-client-2.2.30 Open source LDAP client implementation<br>openldap-server-2.2.30 Open source LDAP server implementation<br>p5-perl-ldap-0.33 A Client interface to LDAP servers<br>pam_ldap-1.8.0 A pam module for authenticating with LDAP<br>php4-ldap-4.4.2_1 The ldap shared extension for php<br>sendmail+sasl2+ldap-8.13.6 Reliable, highly configurable mail transfer agent with util<br><br>cat /etc/nsswitch.conf:<br>group: files ldap<br>group_compat: nis ldap<br>hosts: files dns ldap<br>networks: files ldap<br>passwd: files ldap<br>passwd_compat: nis ldap<br>shells: files ldap<br>shadow: files ldap<br><br>cat /etc/pam.d/pop3<br>auth sufficient /usr/local/lib/pam_ldap.so<br>auth required pam_unix.so no_warn try_first_pass<br><br>cat /etc/ldap.conf<br>base dc=g https://www.opennet.ru/openforum/vsluhforumID1/69268.html#44 Mon, 06 Dec 2010 10:59:38 GMT <br>&gt; сейчас копаюсь на тему как заставить пам понимать что-то кроме крипта, так<br>&gt; что если найдете раньше.. =)<br><br>/etc/auth.conf <br>#<br># $FreeBSD: src/etc/auth.conf,v 1.6.32.1.2.1 2009/10/25 01:10:29 kensmith Exp $<br>#<br># Configure some authentication-related defaults. This file is being<br># gradually subsumed by user class and PAM configuration.<br>#<br><br>crypt_default = md5 des<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/69268.html#43 Sun, 22 Nov 2009 21:13:01 GMT Нарвался на ту же траблу, почитал маны.<br><br>password-hash &lt;hash&gt; [&lt;hash&gt;...] <br>This option configures one or more hashes to be used in generation of user passwords stored in the userPassword attribute during processing of LDAP Password Modify Extended Operations (RFC 3062). The &lt;hash&gt; must be one of {SSHA}, {SHA}, {SMD5}, {MD5}, {CRYPT}, and {CLEARTEXT}. The default is {SSHA}.<br>...<br>Note that this option does not alter the normal user applications handling of userPassword during LDAP Add, Modify, or other LDAP operations.<br><br>другими словами, схема криптования работает только внутри лдапа, определяет как хранить пароли. а сам закриптованый пароль передается как стринг в пам (или другие юзер апликешнс) и если он был закриптован в CRYPT (то же самое что никсовые юзерские пароли), пам его понимает. если в любом другом виде - не понимает.<br><br>сейчас копаюсь на тему как заставить пам понимать что-то кроме крипта, так что если найдете раньше.. =)<br> https://www.opennet.ru/openforum/vsluhforumID1/69268.html#42 Tue, 13 Mar 2007 10:21:04 GMT &gt;&gt;А ты проверял pam_ldap.so (или какое там во фре расширение для бибилиотек <br>&gt;&gt;) на наличие строчки uid=test... ? <br>&gt;&gt;И порт(котрый в портах) для pam_ldap бы проверить на наличие этого dn. <br>&gt;&gt;Может он жёстко прописан? <br>&gt;А где он там может быть жёстко приписан и как это может <br>&gt;влиять на точно такое же поведение если цепляться любым другим пользователем? <br>&gt;<br><br><br>поведние именно в том, что в конфигах uid=test.. не прописан, а pam_ldap всегда лезет эти юзером в лдап, когда ты коннектишься не из под рута<br>ведь откуда-то он его берёт... :-\<br>всё таки пошли сжатый лог от slapd -d 255 на foomail&lt;где-то&gt;yandex.ru<br>пароли не забудь скрыть ;-) https://www.opennet.ru/openforum/vsluhforumID1/69268.html#41 Mon, 12 Mar 2007 11:06:51 GMT &gt;А ты проверял pam_ldap.so (или какое там во фре расширение для бибилиотек <br>&gt;) на наличие строчки uid=test... ? <br>&gt;И порт(котрый в портах) для pam_ldap бы проверить на наличие этого dn. <br>&gt;Может он жёстко прописан? <br>А где он там может быть жёстко приписан и как это может влиять на точно такое же поведение если цепляться любым другим пользователем?<br><br> https://www.opennet.ru/openforum/vsluhforumID1/69268.html#40 Mon, 12 Mar 2007 10:36:50 GMT &gt;&gt;pam ведёт себя одинаково для всех служб? Ftp, telnet, sshd? <br>&gt;Если через LDAP - то проверял только почту и ssh. Эффект одинаковый. <br>&gt;<br><br>А ты проверял pam_ldap.so (или какое там во фре расширение для бибилиотек ) на наличие строчки uid=test... ?<br>И порт(котрый в портах) для pam_ldap бы проверить на наличие этого dn. Может он жёстко прописан?<br> https://www.opennet.ru/openforum/vsluhforumID1/69268.html#39 Wed, 07 Mar 2007 07:13:55 GMT &gt;pam ведёт себя одинаково для всех служб? Ftp, telnet, sshd? <br>Если через LDAP - то проверял только почту и ssh. Эффект одинаковый.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/69268.html#38 Wed, 07 Mar 2007 06:57:39 GMT &gt;Подниму тему. <br>&gt;<br>&gt;В общем, борьба с конфигами довела меня до состояния что при логине <br>&gt;это выглядит так: <br>&gt;<br>&gt;login as: test <br>&gt;Using keyboard-interactive authentication. <br>&gt;Password: <br>&gt;Old Password: <br>&gt;Access denied <br>&gt;<br>&gt;При этом в auth.log попадает только: <br>&gt;<br>&gt;Mar 6 14:51:27 geo-samba sshd[60647]: error: PAM: permission denied for test <br>&gt;from kill.mon.gtss.ru <br>&gt;<br>&gt;Может это уже сам PAM себя так ведёт? Куда копать уже не <br>&gt;понимаю... <br><br>pam ведёт себя одинаково для всех служб? Ftp, telnet, sshd?<br><br> https://www.opennet.ru/openforum/vsluhforumID1/69268.html#37 Wed, 07 Mar 2007 06:55:13 GMT &gt;Подниму тему. <br>&gt;<br>&gt;В общем, борьба с конфигами довела меня до состояния что при логине <br>&gt;это выглядит так: <br>&gt;<br>&gt;login as: test <br>&gt;Using keyboard-interactive authentication. <br>&gt;Password: <br>&gt;Old Password: <br>&gt;Access denied <br>&gt;<br>&gt;При этом в auth.log попадает только: <br>&gt;<br>&gt;Mar 6 14:51:27 geo-samba sshd[60647]: error: PAM: permission denied for test <br>&gt;from kill.mon.gtss.ru <br>&gt;<br>&gt;Может это уже сам PAM себя так ведёт? Куда копать уже не <br>&gt;понимаю... <br><br>pam вед<br> https://www.opennet.ru/openforum/vsluhforumID1/69268.html#36 Tue, 06 Mar 2007 11:55:19 GMT Подниму тему.<br><br>В общем, борьба с конфигами довела меня до состояния что при логине это выглядит так:<br><br>login as: test<br>Using keyboard-interactive authentication.<br>Password:<br>Old Password:<br>Access denied<br><br>При этом в auth.log попадает только:<br><br>Mar 6 14:51:27 geo-samba sshd[60647]: error: PAM: permission denied for test from kill.mon.gtss.ru<br><br>Может это уже сам PAM себя так ведёт? Куда копать уже не понимаю...