gentoo смена шифрования паролей

0

0

Как у гентоо сменить способ шифрования паролей пользователей на MD5?

Настраиваю сервер на гентоо для сети с машинами АСПлинукс. У аспа шифрование паролей MD5 у генту - другое. На сервере поднят ldap для авторизации пользователей. Существующие пароли зашифрованы в МД5 и гентоо их не воспринимает

Собственно вопрос - как поменять способ шифрования паролей у гентоо?

Ссылка

←	Ejabberd file transfer

NFSv4 после suspend/hibernate

→

Во-первых, заменить sha512 (или что там у вас) на md5 можно в /etc/pam.d/system-auth:
password required pam_unix.so try_first_pass use_authtok nullok md5 shadow

Во-вторых, если авторизация происходит через ldap, то пароли проверяет тоже ldap, и "способ шифрования паролей у гентоо" в этом случае не при чём, смотрите всё ли в поряде с ldap-ом. (например /etc/ldap.conf: pam_password md5)

spirit ★★★★★
(22.06.09 16:27:09 MSD)

Ответ на: комментарий от spirit 22.06.09 16:27:09 MSD

Выставлял эти значения и там и там - результат 0. Если я правильно понимаю заменив sha512 на md5 у меня должны перестать приниматься пароли локальных пользователей - но они все равно проходят. В ldap.conf - стоит pam_password md5 или не стоит - результат - один - su: Authentication failure

при этом система видит этих пользователей - команда id например по пользователю из лдапа выдает правильную информацию.

corvinav
(22.06.09 16:38:53 MSD) автор топика

Ответ на: комментарий от corvinav 22.06.09 16:38:53 MSD

"Видит" она их через nss-модули, а авторизует обычно через pam. У вас pam_ldap прописан где надо в /etc/pam.d/*, в /etc/nsswitch.conf указано ходить в ldap ? Если всё везде прописано и всё везде указано, тогда остаётся включить логгирование по максимуму и смотреть логи.

spirit ★★★★★
(22.06.09 16:52:19 MSD)

Ответ на: комментарий от spirit 22.06.09 16:52:19 MSD

перенастроил клиентскую машину на подключение к новому серверу - все работает как надо ........ хотя пароль на лдап в sha512 ......

значит неправильно настроенный pam на сервере .......... или еще что то может быть? потому как конфиги пама уже много раз пересматривал вроде должно работать ........ :(

corvinav
(22.06.09 17:06:49 MSD) автор топика

Ответ на: комментарий от corvinav 22.06.09 17:06:49 MSD

все заработало :)) Матюкался и обзывал себя нехорошими словами долго, хотя так и не понял логику ошибки :)
Дело оказалось в паме в файле систем-аут

были строки

>auth required pam_unix.so try_first_pass likeauth nullok
>auth sufficient /lib/security/pam_ldap.so use_first_pass

а надо было

>auth sufficient /lib/security/pam_ldap.so try_first_pass
>auth required pam_unix.so try_first_pass likeauth nullok

Если кто объяснит логику буду благодарен :)

corvinav
(22.06.09 17:32:47 MSD) автор топика

Ответ на: комментарий от corvinav 22.06.09 17:32:47 MSD

Почитайте про типы sufficent и required:
http://opennet.ru/docs/RUS/pam_begin/index.html

required: Удача этого модуля требуется для всей аутентификации в целом. Неудача модуля с подобным флагом не проявится для пользователя пока не выполнятся все оставшиеся модули.

sufficient: Удачное прохождение подобного модуля считается достаточным для признания всей аутентификации удачной если не провалилась проверка на предшествующих модулях с флагом required. Неудача же этого модуля не считается фатальной для всей последующей аутентификации.

spirit ★★★★★
(22.06.09 17:59:45 MSD)