Buna, Am un numar de masini pe care userii le folosesc via rlogin/rsh/rexec in mod passwordless, folosind fisiere .rhosts. Userii sunt definiti in NIS (global pentru toata reteaua) si se pot conectata de oricare dintre statiile din retea. Doresc acum sa pot restrictiona dupa nevoie, in mod dinamic (si pe perioade de timp arbitrare) accesul la rlogin pe aceste masini, per masina si per utilizator. Pe toate masinile userii au acelasi home (si deci acelasi .rhosts) montat via NFS.
Am incercat in mai multe feluri: (1) Folosind PAM: (pe una dintre masinile cu rlogin) # cat /etc/pam.d/rlogin #%PAM-1.0 # For root login to succeed here with pam_securetty, "rlogin" must be # listed in /etc/securetty. auth required /lib/security/pam_nologin.so auth required /lib/security/pam_securetty.so auth required /lib/security/pam_env.so auth required /lib/security/pam_rhosts_auth.so auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/rlogin_users onerr=fail auth required /lib/security/pam_stack.so service=system-auth account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth session required /lib/security/pam_stack.so service=system-auth Problema e ca acum rlogin cere parola user-ilor care nu sunt in /etc/rlogin_users, ori eu am nevoie ca celor care li se permite sa intre sa nu li se ceara parola, ci sa se foloseasca .rhost-ul care il au definit. Am observat ca pentru userii care sunt in lista de deny (/etc/rlogin_users), dupa o prima autentificare refuzata (deoarece sunt in lista), rlogin face fallback pe login si la introducerea parolei s-au logat. Cum as putea sa il fac pe rlogin sa faca "fallback" pe "regula" de autentificare cu rhosts? Pentru ca ce doresc eu este ca rlogin sa nu intrebe de parole, ci pur si simplu sa rejecteze userii din /etc/rlogin_users, si sa-i lase sa intre fara parola pe toti ceilalti (2) Folosind hosts.deny: Am instalat identd pe statii, si am incercat regula de forma: in.rlogind: [EMAIL PROTECTED] dar nu merge, ceva cred ca imi scapa dar nu stiu ce. Are cineva idee cum as putea face pana la urma ca rlogin sa nu intrebe de parole, ci pur si simplu sa rejecteze userii din /etc/rlogin_users, si sa-i lase sa intre fara parola pe toti ceilalti? Multumesc, Radu _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
