|
Titel: PAM - no such user Beitrag von: lessboringdefault am 29. September 2006, 00:56:32 Hallo,
ich habe heute versucht proftpd (1.2.10 Debian/stable) zu ueberreden die Benutzer per PAM zu authentifizieren. Dazu habe ich folgendes in die /etc/proftpd.conf hinzugefuegt: AuthPam on AuthPAMConfig proftpd AuthOrder mod_auth_pam.c Die dazugehoerige /etc/pam.d/proftpd auth required /lib/security/pam_pwdfile.so pwdfile /etc/passwd.ftp Mit der Zeile "AuthOrder mod_auth_pam.c" war garkein Anmelden moeglich und im Logfile konnte man lesen, dass der Benutzer nicht exisitert. Ohne die entsprechende Zeile war ein Login moeglich allerdings mit zwei unterschiedlichen Passwoertern - dem SystemLoginPasswd und dem aus der /etc/passwd.ftp. Bisher habe ich nur gefunden, dass eine Authentifizierung, mittels PAM so nicht moeglich ist und ich bin erstmal auf ftpasswd ausgewichen. Gibt es wirklich keine Loesung mit PAM? Titel: Re: PAM - no such user Beitrag von: VolGas am 29. September 2006, 07:10:19 Hallo!
Gleich die Gegenfrage: warum eigentlich PAM? Per Default holt sich der ProFTPD alles was er braucht aus dem System, sprich: /etc/passwd. PAM ("Pluggable Authentication Modules") ist gar nicht in der Lage, alle benötigten Daten zu liefern, sondern überprüft nur, ob ein Passwort zu einem Usernamen passt - es kann dem ProFTPD weder UID/GID, noch die Gruppenzugehörigkeit(en) und auch keine HomeDir-Info liefern. Das ist auch der Grund, weshalb die Beschränkung via "AuthOrder" alleine auf das PAM-Modul des ProFTPD nicht funktionieren kann. Durch die Benutzung von PAM wird IMHO nichts besser oder sicherer - nur komplizierter. Wenn Du FTP-Accounts nur bestimmten Usern erlauben möchtest, so kannst Du das z.B. durch die Zugehörigkeit zu einer bestimmten Gruppe erzwingen. Oder Du arbeitest mit virtuellen Usern - der elegantere Weg. Mit dem Modul "mod_auth_file" geht das sogar so, wie Du das bislang lösen wolltest: mit einer eigenen, vom System unabhängigen passwd-Datei. Siehe dazu ->AuthUserFile (http://www.proftpd.de/Direktiven.54.0.html#27) oder: ->Mini-HOWTO discussing use of AuthUserFiles (http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-AuthFiles.html) Nochmal zu PAM: die Doku dazu findest Du ->hier (http://www.castaglia.org/proftpd/doc/README.PAM.html) mfg. VolGas Titel: Re: PAM - no such user Beitrag von: lessboringdefault am 29. September 2006, 16:48:56 Hallo!
Vielen Dank fuer die Antwort. Ich hatte vor die Anmeldung per PAM zu realisieren, da hier alle anderen Anwendungen ebenfalls PAM verwenden und so wollte ich den Usern weniger unterschiedliche Logins bzw. mir weniger Arbeit schaffen. : ) so long lessboringdefault Titel: Re: PAM - no such user Beitrag von: VolGas am 29. September 2006, 18:29:56 Die User können den Unterschied gar nicht bemerken - das Login ist -soweit ich weiß-
immer gleich, egal welches Verfahren verwendet wird... mfg. VolGas |