|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Maxim Tulyuk 2:5020/400 17 Jun 2000 01:14:15
To : All
Subject : Re: Hа: Hа: Hа: uucpd and PAM
--------------------------------------------------------------------------------
Nick A. Leuta <skynick@stu.lipetsk.su> wrote:
>> > Символично - использование pam.conf
>> > считается в настоящее время устаревшей технологией), хотя названия
>> > достаточно говорят за себя.
>> А что pam.conf недостаточно?
> Hе недостаточно, а нетехнологично - каждое приложение вручную
> прописывать/удалять надо. А так - в /etc/pam.d нужный файлик положил - и
> все. Это можно в процессе установки пакеджа сделать (что и делается).
frerbsd's pam исходит из linux-ового и /etc/pam.d там тоже есть (в man
написано, но не пробовал).
ИМХО это привычка, что редактировать. Или что в инсталяции прописывать:
cp или echo.
>> > Так вот, в 3.4-STABLE (и в 4.0 похоже без изменений, ибо в RELNOTES.TXT
> даже
>> > буквосочетания pam нет) из всего этого добра pam_* модули умеют только
> auth
>> > (хотя pam_unix умеет еще account, но см. далее), а из всех стандартных
>> > фревых приложений (типа login, chsn, chfn, su ...) pam использует только
>> > login, да и то по auth.
>> > Вот по совокупности скзанного оно мне и не нравится.
>> Странно, но в unix.ru.bsd - pam указывают как обычный способ
>> для прикручивания какого-нибуть poppera к radiusu/tacacsu
> Расскажу лучше о том, с чего это я вдруг так в pam'е ковыряться стал: есть
> несколько машин (unix-like OS: большой разницы, что держать, Linux или
> FreeBSD нет, хотя надежность Фри вызывает больше доверия, есть также и
> не-UNIX: NT, NW), и надо организовать централизованное управление
> пользователями на них.
> Итак, почему Linux подходит для этой цели лучше FreeBSD и причем тут pam: в
> Linux'e скормив аутентификацию pam_? (не суть важно, что есть этот ?, хотя
> есть конкретное значение), получаем, что оно не только решает, пускать или
> не пускать юзера (это во фре можно), но также позволяет ему менять свой
> пароль (скажем, если все централизованно аутентифицируется на NT PDC или NW
> NDS, то и пароль соответственно меняется _там_, чего во фре не выйдет из-за
> того хотя бы, что ни одно из паролеменяющих приложений не использует pam,
> даже если поставить свой pam_-модуль, который бы это умел), и ряд других
> отличий (не принципиально, но наглядно - в Linux'e через pam выставляются
> лимиты на ресурсы, что во FreeBSD делается через login.conf и приложения
> должны делать это сами). А если еще и вспомнить о том, что в Linux'e есть
> NSS, то получается, что и юзеров на каждой тачке не надо регистрировать...
ИМХО ты решаеш только проблему "authentication", а как же "authorization",
т.е. pam не расскажет о какие права надо раздать каждому и он так же
при входе не выдаст uid... И в твоей схеме путь: vipw, visudo с вытекающими
граблями.
--
bye, Max
--- ifmail v.2.15dev5
* Origin: Unknown (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
