Problema configurazione PAM

10 risposte [Ultimo messaggio]
Ritratto di mojito
mojito
(Junior)
Offline
Junior
Iscritto: 07/04/2010
Messaggi: 6

Ciao a tutti,
ho da poco installato Mandriva 2009 e misa che senza il vostro aiuto rimarrò bloccato su un problema.
Per motivi di lavoro devo configurare la policy delle password in modo molto restrittivo, in particolare devono avere una scadenza di 2 giorni, avere almeno una lettera maiuscola e un numero, devono essere lunghe almeno 8 caratteri e non possono essere ri-utilizzate le ultime 5 password.
Leggendo innumerevoli guide sono arrivato alla configurazione del file etc/pam.d/system-auth nel seguente modo:
#%PAM-1.0
auth       required   pam_unix.so

account    required   pam_unix.so shadow

password    required    pam_cracklib.so   dcredit=-1   ucredit=-1   minlen=8
password    required    pam_unix.so   use_authtok  md5 remember=5
password    required    pam_tcb.so use_first_pass use_authtok shadow write_to=shadow nullok prefix=$2a$ count=8

session    required   pam_unix.so

Il funzionamento è "quasi" perfetto, succede solamente che quando si tenta di modifcare una password viene chiesta la vecchia password e due volte la nuova, al momento della conferma viene dato un errore ma in realtà la password viene aggiornata!!!
Non so se c'entra qualcosa il file shadow o passwd, so solo che se qualcuno mi illumina su questo problema avrà una scorta di birra per un bel pò
Spero di non aver spiegato in maniera troppo confusa il problema,
grazie in ogni caso!!!!
A presto
Mojito

Ritratto di Moreno
Moreno
(Guru)
Offline
Guru
Iscritto: 24/09/2004
Messaggi: 16862

Ciao

Non ricordo esattamente per la 2009 comunque ora queste cose si fanno tutte dal centro di controllo di Mandriva sezione sicurezza.

Ciao Ciao, Moreno

Addio, e grazie per tutto il pesce.
Avatar by moonlight-dream.

Ritratto di mojito
mojito
(Junior)
Offline
Junior
Iscritto: 07/04/2010
Messaggi: 6

Grazie per la risposta!
Inizialmente avevo impostato tutto dal centro di controllo ma in realtà non venivano fatti tutti i controlli, così cercando in giro ho ripiegato su PAM.
Comunque ogni consiglio è ben accetto!!
Grazie
Mojito

Ritratto di Moreno
Moreno
(Guru)
Offline
Guru
Iscritto: 24/09/2004
Messaggi: 16862

Ciao

Come mai hai installato una 2009 invece della 2010.0??

Msec, la parte di gestione della sicurezza, si è evoluto parecchio in questi ultimi mesi grazie al prezioso lavoro di Dodonov.

Ciao Ciao, Moreno

Addio, e grazie per tutto il pesce.
Avatar by moonlight-dream.

Ritratto di mojito
mojito
(Junior)
Offline
Junior
Iscritto: 07/04/2010
Messaggi: 6

Purtroppo è stato richiesta dall'azienda questa versione...e io non so più che pesci prendere...

Ritratto di Moreno
Moreno
(Guru)
Offline
Guru
Iscritto: 24/09/2004
Messaggi: 16862

Ciao

Ah capisco, potresti provare a disabilitare MSec magari entra in conflitto con le tue impostazioni di Pam

Ciao Ciao, Moreno

Addio, e grazie per tutto il pesce.
Avatar by moonlight-dream.

Ritratto di mojito
mojito
(Junior)
Offline
Junior
Iscritto: 07/04/2010
Messaggi: 6

Ho appena provato il tuo consiglio e purtroppo il problema persiste, quando un utente tenta di cambiare la password viene dato l'errore: 'passwd: Authentication token manipulation error' anche se la password viene aggiornata...
So che la soluzione è ad un passo, ma non riesco proprio a capire perchè mi viene dato questo errore maledetto.
Grazie comunque per il tentativo

Ritratto di Moreno
Moreno
(Guru)
Offline
Guru
Iscritto: 24/09/2004
Messaggi: 16862

Ciao

Cercando l'errore su Google si trova parecchio materiale, forse questo link ti potrà essere d'aiuto.

Ciao Ciao, Moreno

Addio, e grazie per tutto il pesce.
Avatar by moonlight-dream.

Ritratto di mojito
mojito
(Junior)
Offline
Junior
Iscritto: 07/04/2010
Messaggi: 6

grazie ancora per la disponibilità!!!
Ho provato anche questa...niente da fare.
Ho idea che il problema sia l'uso contemporaneo dei moduli pam_unix.so e pam_tcb.so.
Il problema è che se tolgo pam_unix non posso più avere la history, se tolgo pam_tcb sparisce magicamente la scadenza della password.

Ritratto di mojito
mojito
(Junior)
Offline
Junior
Iscritto: 07/04/2010
Messaggi: 6

Visto che non sono riuscito a risolvere in nessuna maniera ho deciso di provare il tuo consiglio ed installare mandriva 2010.
Appena avviato dal menù security del control center metto PASSWORD_HISTORY =5 e PASSWORD_LENGHT =8,1,1 e non funziona ne l'uno ne l'altro...
Qui rispunta la Pam, nella voce history dice che la funzione non è supportata con la libreria pam_tcb (che è usata in etc/pam.d/system-auth).
Non è che qualcuno può provare a fare questa cosa...magari è un problema mio, che proprio non riesco a capire.
Grazie

Ritratto di Moreno
Moreno
(Guru)
Offline
Guru
Iscritto: 24/09/2004
Messaggi: 16862

Ciao

La mia esperienza con questi tool è praticamente nulla, hai dato un occhiata qui.

Ciao Ciao, Moreno

Addio, e grazie per tutto il pesce.
Avatar by moonlight-dream.