Date: Wed, 5 Apr 2006 14:51:22 +0200 From: Mikael Le Bohec To: esup-devel@esup-portail.org Subject: Re: [esup-devel] cstockage en cifs + pam_ccreds + pam_cas * Damien MASCRE [2006-04-05 14:45]: > > > Mikael Le Bohec wrote: > > non, là gestion du timeout n'existe pas dans cette version ; > > seuls 2 patchs sur les 5 on été incorporés. > > Ok. > Quand je les passe sur la v3, ils échouent tous, > j'ai pensé "déjà incorporé", et je n'ai donc pas regardé le détails. > J'aurai du essayer sur un v1. > > >> J'ai rédigé ça rapidement dans la foulée : > >> https://portail.cevif.univ-paris13.fr/wiki/Pam_ccreds > > > > L'accès est refusé : > > "Nom d'utilisateur nécessaire" > > "Vous devez vous connecter pour voir les autres pages." > > Et à présent ?? Ca marche ; très bonne doc. La dernière version de pam_ccreds est la v3 (http://www.padl.com/download/pam_ccreds-3.tar.gz). Par défaut le cache de password n'expire jamais. Pour appliquer la gestion d'un timeout il suffit d'appliquer les patchs fournis en pièce jointe. La compilation et l'installation de pam_ccreds sont très simples : $ wget http://www.padl.com/download/pam_ccreds-3.tar.gz $ tar xvzf pam_ccreds-3.tar.gz $ unzip pam_ccreds-3-patchs.zip $ patch -p0 < pam_ccreds-3-patchs/pam_ccreds_libdb.patch $ patch -p0 < pam_ccreds-3-patchs/pam_ccreds_db_get.patch $ patch -p0 < pam_ccreds-3-patchs/pam_ccreds_timeout2.patch $ cd pam_ccreds-3 $ ./configure $ make $ su # cp pam_ccreds.so /lib/security/ Ensuite on peut configurer la partie auth de pam. Le principe est le suivant : - si le mot de passe est dans le cache et n'est pas expiré alors on retourne OK - sinon on passe par pam_cas pour tester la validité du mot de passe. - si le mot de passe fourni est valide on le stocke dans la db sous forme de hash. (Par défaut le fichier db contenant les passwords se trouve ici : /var/cache/.security.db) On peut spécifier la durée de validité du cache grâce à l'option timeout. Un exemple étant plus parlant ; le voilà : ########################################################################################################## # /etc/pam.d/samba ########################################################################################################## auth sufficient /lib/security/pam_ccreds.so action=validate service_specific auth [success=ok new_authtok_reqd=ok ignore=done default=die] /lib/security/pam_cas.so -ssmb://monserveur.univ.fr -f/etc/pam_cas.conf auth optional /lib/security/pam_ccreds.so action=store service_specific timeout=300 @include common-account @include common-session ########################################################################################################## Avis aux testeurs : comme à l'origine je parlais de la casification de la partie cifs, je fournis aussi en pièce jointe le patch CAS compatible avec (ou sans) pam_ccreds.