Rapai... é o seguinte... Eu nunca trabalhei com autenticação RADIUS, mas com LDAP já, como eu tenho uma certa paranoia com tudo que faço, costumo configurar o NSSWITCH e o PAM para usarem os chamados "flat files" e consequentemente o LDAP (caso um falhe, tem o outro).
nsswitch.conf: passwd: files ldap group: files ldap shadow: files ldap Já no PAM é um pouco mais complexo, e a ordem das linhas alteram o resultado do produto. Exemplo de PAM referente à auth: auth sufficient pam_unix.so auth sufficient pam_ldap.so try_first_pass auth required pam_deny.so O parâmetro "sufficient" em caso de sucesso, faz o resto das linhas serem ignoradas, retornando imediatamente o resultado para o serviço que solicitou a autenticação. Neste caso se a autenticação tiver sucesso usando o módulo pam_unix (flat files), não será tentada a autenticação via LDAP (pam_ldap) e nem irá negar via pam_deny (colocado aí somente por motivos de segurança, caso ambos falhem). O parâmetro try_first_pass, faz com que o módulo do LDAP tente autenticar com a mesma senha fornecida para o pam_unix (já que ele vem primeiro). Essa configuração é válida e necessária para account, session e password caso você queira informações sobre usuários e autenticação dos mesmos usando bases de dados diferentes. Nota importante: essas linha deverão ser postas após todas as demais linhas nos arquivos de configuração do PAM (pois o parâmetro "sufficient" é tão importante, e também perigoso se usado de má forma). E é assim que eu autentico, primeiro tenta-se os "flat files" e depois LDAP, poderá ser assim com RADIUS também. Desculpe o BO. []'s Manoel. On Wednesday 24 March 2004 17:05, Pedro Ivo Lima wrote: > Olá Manoel Lobo, > > Seguinte, nosso ambiente posui mais de 10k usuários, então a posibilidade > de alterar as senhas manualmente é remota. > > Agora usando o PAM já pensamos nisso, mas como manter duas bases: uma em > MD5 e outra no clássico DES autenticando via RADIUS? > > O RADIUS automaticamente saberia distinguir entre as senhas MD5 e as senhas > DES ?? > > E se utilizarmos shadow poderia facilitar? Porque aí separíamos as bases > quando uma senha fosse alterada ou uma conta nova criada ela iria pro > shadow e paulatinamente separaríamos as bases por tipo de criptografia, mas > como poderíamos informar isso ao RADIUS?? > > Acho que compliquei ainda mais :P, mas é isso, estamos abertos a quaisquer > sugestões. > > > []'s > > > Pedro Ivo > > > > ----- Original Message ----- > From: "Manoel Lôbo" <[EMAIL PROTECTED]> > To: <[email protected]> > Sent: Wednesday, March 24, 2004 3:40 PM > Subject: Re: DES -> MD5 (Conversão é possível??) > > > Sei que o módulo pam_unix tem o parâmetro "MD5". > > Exemplo: > > password required pam_unix.so md5 obscure etc... bla bla bla... > > Isso faz com que as senha sejam gravadas em formato MD5. > > Será que o do RADIUS tem também ? > Verifique a documentação do PAM. > > Se tiver, peça pros usuários trocaram as senhas, elas serão gravadas em > MD5. > > []'s > > On Wednesday 24 March 2004 14:47, Pedro Ivo Lima wrote: > > Prezados, > > > > > > Precisamos de uma ajudinha. Alguém conhece ou já usou alguma ferramenta > > que > > > converta o /etc/passwd de DES p/ MD5 sem perder as senhas dos usuários?? > > > > Já temos/conhecemos soluções que perdem a senha, mas precisamos impactar > > muito pouco nesta operação. > > > > Seria algo do tipo desencripta o conteúdo em DES e depois encripta c/ > > MD5. > > > > Se houver alguma outra saída "bonita" c/ PAM p/ que gere um middleware > > entre a autenticação via RADIUS e o arquivo de senhas tb é bem vindo... > > > > Valeus e obrigado desde já pela ajuda! > > > > []'s > > > > Pedro Ivo
