cracklib irtás

Linux-haladó

Sziasztok!

A problémám a következő, adva van egy redhat, amibe annyira bele van gyógyítva a cracklib, hogy csak a pam-mal együtt jönne le.
Van mellette egy LDAP is, amiben vannak userek, és szépre bekonfigurált password policy-k.
Na meg mellette vagyok még én, aki kevéssé érti egyenlőre a PAM lelkivilágát.

A probléma: nem birom kivenni a cracklib-et, hogy ne ugasson bele, hogy mit is csinálok.
/Ez az a pont, amikor végtelen mennyiségű google találat van azzal, hogy de, használd, mert az jó neked, stb./
Röviden: tudom mit csinálok, a cracklib-nek tűnnie kell.

a pam.d-m idevágó részlete:

password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_ldap.so use_authtok
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password required pam_deny.so

testing1: LDAP user
testing3: /etc/passwd -ben lakozó user

Ha az első sort kiszedem, akkor:
$ passwd
Changing password for user testing1.
Enter login(LDAP) password:
passwd: Authentication information cannot be recovered

Ha visszaszedem a use_authtok-ot az ldap.so után, akkor picit kötekszik a hosszal [pedig nem kéne neki LDAP-os szabály szerint], de megeszi:

$ passwd
Changing password for user testing1.
Enter login(LDAP) password:
New password:
Password too short
New password:
Password too short
New password:
Re-enter new password:
LDAP password information changed for testing1
passwd: all authentication tokens updated successfully.

De a system user passwd-je hal el ilyenkor:

$ passwd
Changing password for user testing3.
Changing password for testing3
(current) UNIX password:
passwd: Authentication information cannot be recovered

Ha onnan is kiszedem a use_authtok-ot:

$ passwd
Changing password for user testing3.
Changing password for testing3
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
it is too short
it is too short
it is too short
passwd: Authentication token manipulation error

Akinek van ötlete, kérem ne hallgassa el, hogy tudok megszabadulni a cracklib-től kizárólag pam.d/* editálással

Köszi előre is a válaszokat!

  • 1165 megtekintés

( ha1dfo | 2008. 11. 19., sze – 17:54 )

A következőt már sikerült elérni: cracklib meg sincs említve már a password résznél, de valami azért mégiscsak működik:

LDAP-usernek:

Enter login(LDAP) password:
New password:
Password too short

LDAPoldalon a limit 3 karakter [tesztkörnyezet!][meg amugyis constraint violation-nal halna meg], nem tudom mi limitál.

Rendszer usernek:

$ passwd
Changing password for user testing3.
Changing password for testing3
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
it is based on a dictionary word

Na ennél meg nem tudom honnan veszi, mert a cracklib elvileg nem kap vezérlést.

Most csak ennyit hagytam meg:

password sufficient pam_unix.so md5 shadow nullok min=2
password requisite pam_ldap.so

Öteleteket továbbra is szivesen fogadok.

--
"A herceg én vagyok."