Период между сообщениями больше года.
Период между сообщениями больше года.
Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
Авторизация в IDS посредством PAM
|
|||
|---|---|---|---|
|
#18+
Добрый день, дамы и господа! Подскажите пожалуйста, можно ли настроить IDS чтобы он авторизовывал пользоватей посредством pam (Pluggable Authentication Modules)? Вернее я наверное не правильно задал вопрос. То что можно, это я знаю (читал в Changelog'е), а вот удавалось ли кому такое на практике? Зачем мне это надо: есть несколько серверов с информиксом, хотелось бы вести общую базу пользователей (в LDAP). Если не сложно, покажите свои настройки (sqlhost и модуль/конфиг для pam) Заранее благодарен! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.02.2005, 09:04 |
|
||
|
Авторизация в IDS посредством PAM
|
|||
|---|---|---|---|
|
#18+
Мы используем аутентификацию пользователей через PAM в IDS 10.00.UC4 (AIX), юзеры проверяются не через AIX а через виндовый домен (клиентские компы на базе windows входят в домен, держать аккаунты в AIX и виндовс, а также периодически синхронизировать пароли немного затратно, поэтому перешли на PAM). Вначале пытались сделать это еще в 9.40.UC7 но там PAM почему то не заработал. Возможно в Linux 9.4 и PAM работают, но у нас AIX :) В 10 PAM похоже переписали, поэтому PAM работает. Чтобы включить PAM надо в sqlhosts прописать в последнем поле для сервера (поле options) s=4,pam_serv=(informix),pamauth=(password) сконфигурировать соединение с контроллерами домена затем поправить /etc/pam.conf сделать чтобы аутентификация для пользователя шла через KRB5A изменить /etc/security/login.cfg auth_type = PAM_AUTH Как это сделать в Linux, написано в документации к PAM. После этого, когда юзер меняет пароль в винде, в AIX ему пароль менять не надо, он при подключении к Informix проверяется через домен. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.07.2006, 10:52 |
|
||
|
Авторизация в IDS посредством PAM
|
|||
|---|---|---|---|
|
#18+
Andron Вначале пытались сделать это еще в 9.40.UC7 но там PAM почему то не заработал. Возможно в Linux 9.4 и PAM работают, но у нас AIX :) В 10 PAM похоже переписали, поэтому PAM работает. спасибо за ответ. будет возможность -- обязательно попробую 10-ку + PAM ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.07.2006, 12:53 |
|
||
|
Авторизация в IDS посредством PAM
|
|||
|---|---|---|---|
|
#18+
To Andron: Есть необходимость решить такие же проблемы. Авторизация пользователей проходит в домене Windows, Informix установлен на Sun Soalris (Spark 64-bit). Какое нужно дополнительное программное обеспечение, чтобы обеспечить прозрачную авторизацию? Сами модули PAM уже находятся в дистрибутиве операционной системы или их необходимо дополнительно покупать? Нужно ли что-то настраивать/доустанавливать на Solaris, клиентские машины, Windows Server с контроллером домена? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.03.2007, 10:37 |
|
||
|
Авторизация в IDS посредством PAM
|
|||
|---|---|---|---|
|
#18+
Информикс как известно, проверяет пользователей через ОС (это ключевой момент в данном вопросе) на которой он установлен, а уж в самой ОС можно настроить необходимый способ проверки (если ОС это *nix) с помощью PAM. Первое что необходимо, это настроить проверку пользователей (в AIX например это можно сделать на уровне отдельных пользователей) ОС через виндовый домен (можно настроить проверку и через LDAP базы, если сеть построена не на Windows домене). Для проверки у нас например используется Kerberos. Насчет модулей PAM для Solaris не знаю. Если требуется могу написать по шагам как мы настраивали PAM в AIX. PS все таки PAM обеспечивает аутентификацию ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.03.2007, 10:34 |
|
||
|
Авторизация в IDS посредством PAM
|
|||
|---|---|---|---|
|
#18+
и для прозрачной идентификации надо чтобы клиент информикса был одним из последних, а приложение должно уметь challenges. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.03.2007, 12:10 |
|
||
|
Авторизация в IDS посредством PAM
|
|||
|---|---|---|---|
|
#18+
Имеется RHEL AS 4 + IDS 10.00.UC5 Пользователи "берутся" из LDAP-а. Т.е. логинятся, получают шел. Пароли были и md5 и sha и просто криптед (пользователи логинятся при любых). Строка из $INFORMIXDIR/etc/sqlhosts: mainsrvrp onsoctcp mainsrvrp sqlexec s=4,pam_serv=(informix),pamauth=(password) Но при доступе к серверу БД получаю ошибку (строки из online.log): 12:28:35 Password Validation for user [alex] failed! 12:28:35 Check for password aging/account lock-out. 12:28:35 listener-thread: err = -952: oserr = 0: errstr = alex@192.168.1.2: User (alex@192.168.1.2)'s password is not correct for the database server. Локальные пользователи (из /etc/passwd+/etc/shadow+/etc/group) работают с сервером нормально. Может я чего не знаю, или в чем-то ошибаюсь. Спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.04.2008, 19:16 |
|
||
|
Авторизация в IDS посредством PAM
|
|||
|---|---|---|---|
|
#18+
192.168.1.2 - это IP хоста на котором сервер? Честно говоря на Solaris 9 настроили работу IDS 9.40 c OpenLDAP токо так сказать средствами ОС. Никаких ключей в sqlhosts не прописывали. Единственный ньюанс который был - это лдап-клиент должен стартовать до запуска Информикс. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.04.2008, 01:44 |
|
||
|
Авторизация в IDS посредством PAM
|
|||
|---|---|---|---|
|
#18+
в солярисе нет пам. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.04.2008, 08:34 |
|
||
|
Авторизация в IDS посредством PAM
|
|||
|---|---|---|---|
|
#18+
Нашёл вот такую ссылку: Informix user authentication: PAM for the rescue (part 1) , так вот, что и как делал: [root@mainsrvrp etc]# grep mainsrvrp /usr/inf.10/etc/sqlhosts onmainsrvrp onipcshm mainsrvrp onmainsrvrp s=4,pam_serv=(ids),pamauth=(password) mainsrvrp onsoctcp mainsrvrp sqlexec s=4,pam_serv=(ids),pamauth=(password) [root@mainsrvrp etc]# cat /etc/pam.d/ids #%PAM-1.0 auth required /lib/security/pam_ldap.so config=/usr/inf.10/etc/ids_ldap.conf account required /lib/security/pam_permit.so [root@mainsrvrp etc]# cat /usr/inf.10/etc/ids_ldap.conf #Host name or IP address of the LDAP/AD server. MUST CHANGE! host ldap.lg.bbb #Base structure in the tree where the users are located. MUST CHANGE! base CN=People,dc=lg,dc=bbb #Name of the user that connects to the LDAP/AD. MUST CHANGE! binddn CN=admin,CN=People,dc=lg,dc=bbb #Password for LDAP connection (should obviously be encripted and connection should be done through secure communication) #MUST CHANGE! bindpw _секрет_ #Some more parameters. DON'T NEED TO CHANGE nss_initgroups_ignoreusers root,ldap pam_login_attribute sAMAccountName pam_filter objectclass=People nss_base_passwd cn=People,dc=lg,dc=bbb nss_base_shadow cn=People,dc=lg,dc=bbb nss_base_group cn=People,dc=lg,dc=bbb nss_map_attribute uidNumber msSFU30UidNumber nss_map_attribute gidNumber msSFU30GidNumber nss_map_attribute cn sAMAccountName nss_map_attribute loginShell msSFU30LoginShell nss_map_objectclass posixAccount People nss_map_objectclass shadowAccount People nss_map_attribute uid msSFU30Name nss_map_attribute userPassword msSFU30Password nss_map_attribute homeDirectory msSFU30HomeDirectory nss_map_attribute homeDirectory msSFUHomeDirectory nss_map_objectclass posixGroup Group pam_login_attribute msSFU30Name pam_filter objectclass=People pam_password crypt И для всех пользователей в ldap-е прописан шел /bin/false. Ошибка не изменилась. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.04.2008, 11:52 |
|
||
|
Авторизация в IDS посредством PAM
|
|||
|---|---|---|---|
|
#18+
Журавлев Денисв солярисе нет пам.Перепутал, пам там есть и вообще PAM was first proposed by Sun Microsystems in an Open Software Foundation . Пам и challenges: Using the PAM Authentication Method with ESQL/C http://www.ibm.com/developerworks/db2/zones/informix/library/techarticle/0306mathur/0306mathur.html Challenge/response and implicit connections http://informix-technology.blogspot.com/2008/02/informix-user-authentication-pam-for.html ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.05.2008, 09:35 |
|
||
|
|
start [/forum/topic.php?fid=44&fpage=36&tid=1608109]: |
0ms |
get settings: |
8ms |
get forum list: |
15ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
30ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
40ms |
get tp. blocked users: |
1ms |
| others: | 268ms |
| total: | 380ms |
| 0 / 0 |
