12.3 pam nis

      12.3 pam nis

      Hallo,

      ich habe ein Problem mit 12.3 Clients; ich kann [weder als User noch als root]] via 12.3 NIS-Clients keine NIS-Passwörter [die liegen auf einem separaten Server] mehr ändern.

      Quellcode

      1. >> passwd nisnutzer
      2. passwd: Benutzer bei zu Grunde liegendem Authentifizierungsmodul nicht bekannt
      3. passwd: Passwort nicht geändert

      mit LOG-Message

      Quellcode

      1. passwd[4800]: pam_unix(passwd:chauthtok): user "nisnutzer" does not exist in /etc/passwd

      Das Problem lässt sich beheben, wenn man von einem 12.1 Rechner das Verzeichnis

      /etc/pam.d

      auf den 12.3 Client kopiert [scheint mir aber nicht so sauber zu sein]; nicht aber, wenn man mit

      Quellcode

      1. pam-config --create

      ein "Default"-Konfiguration erstellt.

      Der Grund könnte sein, dass openSuSe jetzt pam_unix.so statt pam_unix2.so verwendet [war einer 12.3 Ankündigung zu entnehmen; das kopierte pam.d verwendet noch pam_unix2.so]!?

      Dementsprechend meine Frage(n):

      1. Ist das ein Bug [keine NIS-PW ändern als Default]
      2. Wie konfigueriere ich ein 12.3 so, dass ich NIS-PW ändern kann [genauer: jeder User sein eigenes mit PW-Eingabe, root alle PW ohne PW-Eingabe... ...so wie sonst seit Jahren der Default ist]?

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „glako“ () aus folgendem Grund: BB-Code

      Danke für die Formatierungshilfen; werde das nächste Mal die Formatierungen verwenden.

      So, ich denke, es har sich erledigt. Nachdem ich angefangen habe, mich durch die "The Linux-PAM System Administrators' Guide" zu wälzen, mich geärgert habe, dass es pam_unix2.so [dort] nicht gibt... ...habe ich festgestellt, dass es man-Pages zu pam_unix.so und pam_unix2.so gibt; und siehe da: pam_unix2.so verwendet NIS als default, während es bei pam_unix.so eine Option nis gibt [die offensichtlich nicht default ist, und die auch nicht vom yast eingefügt wird, wenn man einen Rechner als NIS-Client konfiguriert].

      Ich habe also in der Datei /etc/pam.d/common-passwd-pc die Zeile

      Quellcode

      1. password required pam_unix.so debug use_authtok nullok shadow try_first_pass

      durch

      Quellcode

      1. password required pam_unix.so debug use_authtok nullok shadow nis try_first_pass


      ersetzt. Das scheint zu funktionieren und mir halbwegs "sauber" zu sein.

      Allerdings weiß ich nicht, welches Programm [wann?] mal ein

      Quellcode

      1. pam-config --create

      ausführt [und ich vermute, dass meine Änderungen danach weg sind].
      Wenn mir jemand dazu etwas sagen kann, wäre ich auch dankbar.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „glako“ ()

      AW: 12.3 pam nis

      bommel schrieb:

      Der Grund könnte sein, dass openSuSe jetzt pam_unix.so statt pam_unix2.so verwendet [war einer 12.3 Ankündigung zu entnehmen; das kopierte pam.d verwendet noch pam_unix2.so]!?


      Nur so nebenbei:

      Quellcode

      1. grep pam_unix /etc/pam.d/*
      2. /etc/pam.d/common-account:account required pam_unix2.so
      3. /etc/pam.d/common-account-pc:account required pam_unix2.so
      4. /etc/pam.d/common-auth:auth required pam_unix2.so
      5. /etc/pam.d/common-auth-pc:auth required pam_unix2.so
      6. /etc/pam.d/common-password:password required pam_unix2.so use_authtok nullok
      7. /etc/pam.d/common-password-pc:password required pam_unix2.so use_authtok nullok
      8. /etc/pam.d/common-session:session required pam_unix2.so
      9. /etc/pam.d/common-session-pc:session required pam_unix2.so
      10. # cat /etc/os-release
      11. NAME=openSUSE
      12. VERSION="12.3 (Dartmouth)"
      13. VERSION_ID="12.3"
      14. PRETTY_NAME="openSUSE 12.3 (Dartmouth) (i586)"
      15. ID=opensuse
      16. ANSI_COLOR="0;32"
      17. CPE_NAME="cpe:/o:opensuse:opensuse:12.3"
      So sieht das bei mir auf allen 12.3er-Installationen aus, alle verwenden pam_unix2.so, sind allerdings auch alles Upgrades von älteren Versionen und keine Neuinstallation.

      Das Modul "pam_unix2.so" ist auf allen Systemen logischerweise vorhanden und stammt aus dem Paket "pam-modules", händische Eingriffe meinerseits gab es keine, lief alles automatisch ab.

      Nachtrag:

      doc.opensuse.org/documentation…enSUSE/opensuse-security/

      doc.opensuse.org/documentation…ml#dat.pam.common-account

      Sofern diese Dokumentation, die explizit zu 12.3 gehören soll, nicht veraltet ist (nichts ist unmöglich), würde ich vermuten, daß pam_unix2.so immer noch der Default ist, denn pam_unix.so findet sich nirgends.

      Greetz,

      RM
      "Programming today is a race between software engineers striving to build better & bigger idiot-proof programs and the Universe trying to produce bigger & better idiots. So far, the Universe is winning." (Rick Cook)

      Dies ist ein _öffentliches_ Supportforum, keinerlei Support per PN, EMail oder Instant Messenger.

      openSUSE Leap 42.3 - Kernel 4.19.x - fluxbox 1.3.7

      Bitmessage: BM-2D8h8QZmvHfgbixWeiG1NDZHG1iXAhBz8K

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Rain_Maker“ ()

      AW: 12.3 pam nis

      Erstmal danke für den Hinweis, das man sich/ich mir bei [weiteren] Updates diesen [s.o.] Ärger vermutlich sparen kann.

      In der entsprechenden Ankündigung von
      de.opensuse.org/Ank%C3%BCndigung
      steht
      Linux PAM Module wie pam_unix.so und pam_cracklib.so werden nun standardmäßig bei neuen Installationen verwendet, da sie nun Funktionen des von SUSE entwickelten pam_unix2.so und pam_pwcheck.so. anbieten.

      Bei mir [zugegebenermaßen handelt es sich um eine Neuinstallation] sieht es eben als Default so aus:

      Quellcode

      1. grep pam_unix /etc/pam.d/*
      2. /etc/pam.d/common-account:account required pam_unix.so try_first_pass
      3. /etc/pam.d/common-account.pam-config-backup:account required pam_unix.so try_first_pass
      4. /etc/pam.d/common-account-pc:account required pam_unix.so try_first_pass
      5. /etc/pam.d/common-auth:auth required pam_unix.so try_first_pass
      6. /etc/pam.d/common-auth.pam-config-backup:auth required pam_unix.so try_first_pass
      7. /etc/pam.d/common-auth-pc:auth required pam_unix.so try_first_pass
      8. /etc/pam.d/common-password:password required pam_unix.so use_authtok nullok shadow try_first_pass
      9. /etc/pam.d/common-password.pam-config-backup:password required pam_unix.so use_authtok nullok try_first_pas
      10. /etc/pam.d/common-password-pc:password required pam_unix.so use_authtok nullok shadow try_first_pass
      11. /etc/pam.d/common-session:session required pam_unix.so try_first_pass
      12. /etc/pam.d/common-session.pam-config-backup:session required pam_unix.so try_first_pass
      13. /etc/pam.d/common-session-pc:session required pam_unix.so try_first_pass
      14. # cat /etc/os-release
      15. NAME=openSUSE
      16. VERSION="12.3 (Dartmouth)"
      17. VERSION_ID="12.3"
      18. PRETTY_NAME="openSUSE 12.3 (Dartmouth) (x86_64)"
      19. ID=opensuse
      20. ANSI_COLOR="0;32"
      21. CPE_NAME="cpe:/o:opensuse:opensuse:12.3"

      und tatsächlich wird bspw. in /etc/pam.d/common-password auch pam_cracklib.so statt wie bei [meiner] 12.1 pam_pwcheck.so mit unter anderem der Option cracklib verwendet.
      Den pam-Teil der angegebenen Dokus




      hatte ich auch gelesen [insbesondere auch den Inhalt des letzten Links], was meine Laune auch nicht gerade gesteigert hatte: Offensichtlich hat sich doch etwas geändert, aber eben nicht die Doku :-|

      Mein nächstes Problem war/ist: die Login-Shell vom NIS-Client aus ändern. Geht bei meiner openSuSE 12.3 Neuinstallation nicht. DAS hat aber wohl nichts mit pam zu tun, sondern damit, dass chsh bei mir laut manpage aus dem Paket shadow-utils 4.1.5.1 kommt (zypper-Name: shadow), mit

      Quellcode

      1. ll -h /usr/bin/chsh
      2. -rwsr-xr-x 1 root shadow 41K 5. Feb 15:58 /usr/bin/chsh

      nur etwa halb so groß ist, wie chsh aus pwdutils bei openSuSE 12.1, und im Ggs. zu letzterer Version wohl eben einfach unfähig ist, ein Passwort über NIS zu ändern [Die manpage der 12.1er-Version listet die NIS-Fähigkeit auch explizit, die 12.3er nicht].

      Da wäre es für mich interessant, ob bei dem Update von 12.1 zu 12.3 die alte, leistungsfähige Version bleibt, oder auch die neue nicht-nis-fähige Version vorliegt [Bedienungsfehler will ich nicht ausschließen],
      oder, ob es eine einfache Alternative dafür mit 12.3 gibt.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „bommel“ ()

      AW: 12.3 pam nis

      Ich habe mal ein wenig rumgespielt und bin zumindest auf die wahrscheinlich sauberste Methode gekommen, wie nis-Unterstützung in pam_unix eingebaut werden kann/sollte.

      Ein

      Quellcode

      1. # pam-config --update --unix-nis
      trägt das Ganze ohne händisches Rumbasteln an Dateien ein.

      Der Befehl "pam-config --create" wird von pam-config nur dann ausgeführt, wenn es eine Erstinstallation des Paketes ist.

      Quellcode

      1. # rpm -q --scripts pam-config
      2. postinstall scriptlet (using /bin/sh):
      3. if [ ! -f /etc/pam.d/common-auth-pc ] ; then
      4. pam-config --debug --create --force
      5. else
      6. pam-config --debug --update ||:
      7. fi
      Insofern sollte man nach obigem Einbinden eigentlich auf der sicheren Seite sein.

      Die saubere Lösung für YaST&co. müsste IMHO so aussehen, daß der Befehl "pam-config --update --unix-nis" nach der Einrichtung von NIS ausgeführt werden muss, sollte das nicht der Fall sein, dann ist wohl ein Bugreport fällig.

      Greetz,

      RM
      "Programming today is a race between software engineers striving to build better & bigger idiot-proof programs and the Universe trying to produce bigger & better idiots. So far, the Universe is winning." (Rick Cook)

      Dies ist ein _öffentliches_ Supportforum, keinerlei Support per PN, EMail oder Instant Messenger.

      openSUSE Leap 42.3 - Kernel 4.19.x - fluxbox 1.3.7

      Bitmessage: BM-2D8h8QZmvHfgbixWeiG1NDZHG1iXAhBz8K

      AW: 12.3 pam nis

      Ein


      Quellcode

      1. # pam-config --update --unix-nis

      trägt das Ganze ohne händisches Rumbasteln an Dateien ein.


      Super! Danke! Genau soetwas habe ich gesucht. :)
      Wird leider von yast bei/nach der Konfiguration eines NIS-Clients nicht ausgeführt.

      ..und danke: gut zu wissen, dass

      Quellcode

      1. pam-config --create
      nur bei der Paketinstallation ausgeführt wird.

      Fein. Schönes WoE!