[PAM] su: ругань на неизвестные опции в конфиге

0

0

Слака. Пересобрал shadow с поддержкой pam. Делаю su, всё работает, но выдает вот такую штуку:

Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `LASTLOG_ENAB'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `MAIL_CHECK_ENAB'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `OBSCURE_CHECKS_ENAB'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `PORTTIME_CHECKS_ENAB'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `QUOTAS_ENAB'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `MOTD_FILE'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `FTMP_FILE'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `NOLOGINS_FILE'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `ENV_HZ'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `PASS_MIN_LEN'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `SU_WHEEL_ONLY'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `PASS_CHANGE_TRIES'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `PASS_ALWAYS_WARN'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `CHFN_AUTH'
Mar 15 20:20:36 mac2 su[1405]: unknown configuration item `ENVIRON_FILE'

тот же shadow собранный с --without-libpam не ругается. Куда эти опции переехали, и будет ли правильным просто закомментировать их в login.defs?

Ссылка

←	[nginx] Не работает gzip для проксированных сайтов

[apache] Как измерить нагрузку по виртуальным сайтам?

→

слака, shadow собран тоже с pam
в login.defs все это есть, я не убирала

мне кажется что у вас не отконфигурирован pam

Sylvia ★★★★★
(15.03.10 20:38:20 MSK)

Ответ на: комментарий от Sylvia 15.03.10 20:38:20 MSK

мне кажется что у вас не отконфигурирован pam

Выходит что так, я лишь начинаю с ним разбираться по-нормальному. Что кроме /etc/pam.d/* стоит посмотреть?

aix27249 ★
(15.03.10 20:40:25 MSK) автор топика

Ответ на: комментарий от aix27249 15.03.10 20:40:25 MSK

/etc/pam.conf
(у меня там пусто, только заголовок)

а так - все в /etc/pam.d вроде лежит, если сами при сборке pam не включили еще другой каталог с конфигами...

Sylvia ★★★★★
(15.03.10 20:43:02 MSK)

Ответ на: комментарий от Sylvia 15.03.10 20:43:02 MSK

/etc/security/ еще

Sylvia ★★★★★
(15.03.10 20:44:25 MSK)

Ответ на: комментарий от Sylvia 15.03.10 20:44:25 MSK

Вроде бы там всё правильно... Подозреваю что pam собран криво у меня, пойду глядеть...

aix27249 ★
(15.03.10 20:52:55 MSK) автор топика

Ответ на: комментарий от aix27249 15.03.10 20:52:55 MSK

а
/etc/pam.d/su
/etc/pam.d/login
и другие есть у вас?

sylvia@allure:/etc/pam.d$ ls
atd common-auth cups kcheckpass newrole ppp su
chfn common-password cvs kdm newusers run_init sudo
chpasswd common-session environment kdm-np other samba vsftpd
chsh common-session-noninteractive gdm kscreensaver passwd security xscreensaver
common-account cron gdm-autologin login polkit-1 sshd

Sylvia ★★★★★
(15.03.10 20:55:54 MSK)

Ответ на: комментарий от Sylvia 15.03.10 20:55:54 MSK

Да, всё это есть. Соль в том что работает всё корректно, просто при логине идет ругань эта как в логи, так и в консоль.

Залез в сорцы su, увидел следующее:

#ifndef USE_PAM
		cp = getdef_str ("ENV_TZ");
		if (NULL != cp) {
			addenv (('/' == *cp) ? tz (cp) : cp, NULL);
		}

		/*
		 * The clock frequency will be reset to the login value if required
		 */
		cp = getdef_str ("ENV_HZ");
		if (NULL != cp) {
			addenv (cp, NULL);	/* set the default $HZ, if one */
		}
#endif				/* !USE_PAM */

Аналогично и в login.c:

#ifndef USE_PAM
	else {
		cp = getdef_str ("ENV_HZ");
		if (NULL != cp) {
			addenv (cp, NULL);
		}
	}
#endif				/* !USE_PAM */

Это shadow-4.1.4.2. Исходя из этого, всё в общем-то правильно и эти опции в случае PAM не должны быть в конфиге. Но тогда становится неясно во-первых почему так сделано, во-вторых почему у других не так (хотя сорцы-то вроде те же самые).

aix27249 ★
(15.03.10 21:00:35 MSK) автор топика

Ответ на: комментарий от aix27249 15.03.10 21:00:35 MSK

попробую завтра поставить pam + shadow на другую машину, а то уже точно не помню какие проблемы там возникли

Sylvia ★★★★★
(15.03.10 21:03:37 MSK)

Ответ на: комментарий от Sylvia 15.03.10 21:03:37 MSK

Вообще, судя по коду, я предполагаю что либо login.defs вообще не должен обрабатываться, либо он должен содержать другую инфу. Еще возможный вариант - что login и su у тебя из другого пакета (может быть, coreutils?)

aix27249 ★
(15.03.10 21:09:01 MSK) автор топика

Ответ на: комментарий от aix27249 15.03.10 21:09:01 MSK

Кстати в coreutils таки есть su, и там никаких упоминаний этих опций (видимо вообще login.defs не читает). А вот альтернативную реализацию логина я пока не нашел.

aix27249 ★
(15.03.10 21:15:41 MSK) автор топика

Ответ на: комментарий от aix27249 15.03.10 21:15:41 MSK

http://repos.archlinux.org/wsvn/packages/shadow/trunk/login.defs

Взял login.defs из арча, с ним таки правильно всё. Так что, видимо, эти опции просто не должны быть в login.defs в случае PAM.

aix27249 ★
(15.03.10 21:25:15 MSK) автор топика

Ссылка

Ответ на: комментарий от aix27249 15.03.10 21:15:41 MSK

>альтернативную реализацию логина я пока не нашел
util-linux(ng) не смотрели?

Sylvia ★★★★★
(15.03.10 21:27:04 MSK)

Ссылка

Ответ на: комментарий от aix27249 15.03.10 21:09:01 MSK

>login и su у тебя из другого пакета

таки нет

shadow-4.0.3-i686-20:bin/su
shadow-4.0.3-i686-20:bin/login

Sylvia ★★★★★
(15.03.10 21:29:44 MSK)

Ответ на: комментарий от Sylvia 15.03.10 21:29:44 MSK

>>login и su у тебя из другого пакета

таки нет

shadow-4.0.3-i686-20:bin/su

shadow-4.0.3-i686-20:bin/login

Ну тогда возможно всё дело в версии shadow, попозже загляну в сорцы старой версии ради интереса. Пока что решил вот вышеописанным способом - как в archlinux.

aix27249 ★
(15.03.10 21:39:40 MSK) автор топика

Ссылка

Ответ на: комментарий от Sylvia 15.03.10 21:29:44 MSK

Ну в любом случае спасибо - в целом разобрался, работает :)

aix27249 ★
(16.03.10 00:26:43 MSK) автор топика

Ответ на: комментарий от aix27249 16.03.10 00:26:43 MSK

хорошо что разобрались, я попробовала обновить PAM у себя, поэтому дополню, все сильно зависит от версий, у меня был PAM 1.0.1, обновила до 1.1.1 , конфиги старые читать и использовать оно отказалось, а поскольку желания все это исправлять у меня пока нет, то откатила до работоспособного состояния
Как-нибудь потом сделаю с шаблоном а-ля-гента, чтобы лишнее время не тратить на разбирательства что к чему и откуда там ноги растут.

Sylvia ★★★★★
(16.03.10 13:31:50 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[nginx] Не работает gzip для проксированных сайтов

Admin

[apache] Как измерить нагрузку по виртуальным сайтам?

→

Похожие темы