robotto7831a Geschrieben 6. Dezember 2008 Geschrieben 6. Dezember 2008 Hallo zusammen, ich habe aus dem Repository RepoView: Samba packages of released versions (openSUSE_11.0) meinen Samba auf Version 3.2.5 upgedatet. Seit dem bekomme ich ca. alle 15 Minuten folgende Meldung im Logfile. pam_winbind(crond:session): pam_putenv: delete non-existent entry; KRB5CCNAME Was soll mir das sagen? Mein Samba Server ist Mitglied einer Active Directory Domäne. Frank Zitieren
mgoebel Geschrieben 7. Dezember 2008 Geschrieben 7. Dezember 2008 Hallo Frank, kann es sein das der crond auch über pam geht (was ja häufig der fall ist) und dabei auf das winbind Modul trifft welches versucht die KRB5CCNAME Variable (Enviroment) zu löschen? Ich würde vermuten das cron kein Ticket bekommt, was er auch nicht soll. Ich würde mal die Pam-Stapel untersuchen und dort etwas genauer forschen. Wie sieht Dein Session PAM-Stapel aus? Wie gesagt: Alles eine Vermutung... Gruß Marco Zitieren
robotto7831a Geschrieben 7. Dezember 2008 Autor Geschrieben 7. Dezember 2008 Danke für deine Antwort. Aber was meinst Du mit pam-stapel? Frank Zitieren
mgoebel Geschrieben 7. Dezember 2008 Geschrieben 7. Dezember 2008 Mit Pam-Stapel meine ich die Konfigurationsdateien in /etc/pam.d/* Unter Pam spricht man hier von 'Stapel' da die einzelnen Module in solch einer Konfigurationsdatei von oben nach unten abgearbeitet werden.Zusammen bilden Sie dann den besagten Stapel (mini-Beispiel): auth requisite pam_unix.so nullok_secure debug auth optional pam_smbpass.so migrate missingok debug Schöner Stapel ;-) Versuch doch mal das debugging der einzelnen Module um der Sache auf die Spur zu kommen... Gruß Marco Zitieren
robotto7831a Geschrieben 8. Dezember 2008 Autor Geschrieben 8. Dezember 2008 Kann ich da einfach mit dem vi debug hinterschreiben? Muss ich dann noch was durchstarten? Frank Zitieren
mgoebel Geschrieben 8. Dezember 2008 Geschrieben 8. Dezember 2008 Hallo Frank, ja du kannst debug dahinter schreiben. 'Durchstarten' musst Du bei PAM nichts. Aber sei gewarnt: Die "PAMela" ;-) kann schnell bocken und zickig werden wenn man falsche Einträge in den Dateien macht. Schlimmstenfalls kann sich keiner (auch root) nicht mehr anmelden... Es sei dir ans Herz gelegt: The Linux-PAM System Administrators' Guide Gruß und schönen Start in die Woche Marco Zitieren
robotto7831a Geschrieben 8. Dezember 2008 Autor Geschrieben 8. Dezember 2008 Hallo Marco, die Meldung kommt ja anscheinend von crond:session. Ich finde aber nichts verdächtiges in der /etc/pam.d/crond. Hier mal der Inhalt. auth sufficient pam_rootok.so debug auth include common-auth debug account include common-account debug password include common-password debug session required pam_loginuid.so debug session include common-session debug Frank Zitieren
mgoebel Geschrieben 8. Dezember 2008 Geschrieben 8. Dezember 2008 Hallo Frank, die Datei crond ist noch nicht die ganze Miete. SuSE hat ja das Prinzip der includes übernommen. Die debug Option ist bei der 'include' Anweisung (control-Flag) nicht anwendbar. Ich picke hier mal folgende Zeile heraus: session include common-session debug Diese Zeile besagt: Lade /etc/pam.d/common-session und arbeite den Stapel (Inhalt aus common-session) ab. Ergo versteck sich der Übeltäter in einer der common-* Dateien. Dort findest Du wahrscheinlich auch das winbind-Modul ;-) Lösung: A) Du übernimmst alle Zeilen (ohne die pam_winbind Zeile) aus den common-Dateien in die crond Datei.Nach dem Schema: auth sufficient pam_rootok.so --> Alle Zeilen aus auth include common-auth (ohne winbind-Zeile) --> Alle Zeilen aus account include common-account (ohne winbind-Zeile) usw. Die include Zeilen müssen dann natürlich raus ! Du schaust mal ob die pam_winbind.conf (etc/security/winbind.conf) sich so modifizieren lässt das der User cron nicht getestet wird. So etwas wie UID>=500 oder so (wohl nicht möglich). C) Du modifiziert die common-Dateien so das ein success VOR dem winbind-Modul erfolgt und der Stapel fertig. Dabei sollte man aber sich sehr gut mit PAM auskennen ;-) Bei falscher Konfiguration kann es sein das gar nichts mehr geht (auch AD nicht) Ich denke A) hört sich ganz gut an... Gruß Marco Zitieren
robotto7831a Geschrieben 8. Dezember 2008 Autor Geschrieben 8. Dezember 2008 Hallo Marco, in der common-session steht folgendes. session required pam_limits.so session required pam_unix2.so session required pam_winbind.so session optional pam_umask.so Also würde ich dann folgendes in die crond schreiben. auth sufficient pam_rootok.so auth include common-auth account include common-account password include common-password session required pam_loginuid.so #session include common-session session required pam_limits.so session required pam_unix2.so #session required pam_winbind.so session optional pam_umask.so Ist das so richtig? Frank Zitieren
mgoebel Geschrieben 8. Dezember 2008 Geschrieben 8. Dezember 2008 Hallo Frank, ja so sollte das gehen. Ich empfehle aber mit den: auth include common-auth account include common-account password include common-password nach dem gleichen Muster zu verfahren damit /etc/pam.d/crond komplett ohne include auskommt. Gruß Marco Zitieren
robotto7831a Geschrieben 9. Dezember 2008 Autor Geschrieben 9. Dezember 2008 Hallo Marco, das sieht bis jetzt sehr gut aus. Danke. Frank Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.