pam_tailly <=> faillog

[Serow]

Hi,

pam_tally benutzt ja die faillog db in /var/log/faillog um user auszusperren - richtig? In der manpage zu faillog steht aber nichts vom pam_tally. Dh, ich frage mich jetzt, wie faillog alleine das schaffen will User auszusperren? Ohne pam_tally geht das doch garnicht oder?

Wie bekommt faillog, dann überhaupt die logins mit? Wie kann es User aussperren?

cu
serow

 

[Knoxx]

Ich vermute mal irgendwie über die login.defs-Datei.

 

[Serow]

Aha, die Datei hab ich noch garnicht gesehn ...

       Much of the functionality that used to be provided by the shadow
       password suite is now handled by PAM. Thus, /etc/login.defs is no
       longer used by programs such as: login(1), passwd(1), su(1). Please
       refer to the corresponding PAM configuration files instead.

Also hat PAM das ganze quasi abgelöst.


cu
serow

 

[Knoxx]

Ich weiß ja nicht unter welcher Distribution du das gerade machst, aber unter Ubuntu 8.10 und Debian Etch wird diese Datei immer noch verwendet. Auch wenn ein Teil an PAM abgegeben worden ist:

################# OBSOLETED BY PAM ##############
# #
# These options are now handled by PAM. Please #
# edit the appropriate file in /etc/pam.d/ to #
# enable the equivelants of them.
#
###############

#MOTD_FILE
#DIALUPS_CHECK_ENAB
#LASTLOG_ENAB
#MAIL_CHECK_ENAB
#OBSCURE_CHECKS_ENAB
#PORTTIME_CHECKS_ENAB
#SU_WHEEL_ONLY
#CRACKLIB_DICTPATH
#PASS_CHANGE_TRIES
#PASS_ALWAYS_WARN
#ENVIRON_FILE
#NOLOGINS_FILE
#ISSUE_FILE
#PASS_MIN_LEN
#PASS_MAX_LEN
#ULIMIT
#ENV_HZ
#CHFN_AUTH
#CHSH_AUTH
#FAIL_DELAY

 

[Serow]

Debian 5.0 isses bei mir. Wird wohl hier genauso sein.

Allerdings ist noch nicht geklärt worden, wie die Settings "enforce"t werden. Da ist immer die Rede von der "shadow password suite". Was kann ich denn darunter verstehen?

 

[Knoxx]

Als Shadow-Password-Suite bezeichnet man die grundlegenden Befehle zur Benutzerverwaltung, also z.B. "su", "passwd" und "login". Diese Befehle setzen ein bestimmtes Konzept zur Passwortverwaltung ein, das man "Shadow-Password" nennt. Damit ist die Aufsplittung der Benutzerdaten in Benutzername und Passwort auf 2 verschiedene Dateien gemeint (passwd und shadow).

Nachzulesen hier: http://de.wikipedia.org/wiki/Shadow-Passwort

Wie nun das genaue Zusammenspiel zwischen faillog, login und pam abläuft kann ich dir leider auch nicht sagen. Evtl hilft es dir ja weiter wenn du die einzelnen Programm-Aufrufe bei einem login mit "strace" protokollierst und anschaust.


//EDIT
Falls es dir um das grundsätzliche Verständnis geht, wie eine Authentifizierung mit PAM abläuft hilft dir vielleicht dieser Artikel weiter:
http://gertranssmb3.berlios.de/output/pam.html
Vorallem der Abschnitt "Beispiel einer System-Konfiguration".