Zum Inhalt springen

pam_winbind Meldung immer im Logfile


Empfohlene Beiträge

Geschrieben

Hallo zusammen,

ich habe aus dem Repository RepoView: Samba packages of released versions (openSUSE_11.0) meinen Samba auf Version 3.2.5 upgedatet.

Seit dem bekomme ich ca. alle 15 Minuten folgende Meldung im Logfile.

pam_winbind(crond:session): pam_putenv: delete non-existent entry; KRB5CCNAME

Was soll mir das sagen?

Mein Samba Server ist Mitglied einer Active Directory Domäne.

Frank

Geschrieben

Hallo Frank,

kann es sein das der crond auch über pam geht (was ja häufig der fall ist) und dabei auf das winbind Modul trifft welches versucht die KRB5CCNAME Variable (Enviroment) zu löschen? Ich würde vermuten das cron kein Ticket bekommt, was er auch nicht soll.

Ich würde mal die Pam-Stapel untersuchen und dort etwas genauer forschen. Wie sieht Dein Session PAM-Stapel aus? Wie gesagt: Alles eine Vermutung...

Gruß

Marco

Geschrieben

Mit Pam-Stapel meine ich die Konfigurationsdateien in /etc/pam.d/*

Unter Pam spricht man hier von 'Stapel' da die einzelnen Module in solch einer Konfigurationsdatei von oben nach unten abgearbeitet werden.Zusammen bilden Sie dann den besagten Stapel (mini-Beispiel):

auth requisite pam_unix.so nullok_secure debug

auth optional pam_smbpass.so migrate missingok debug

Schöner Stapel ;-)

Versuch doch mal das debugging der einzelnen Module um der Sache auf die Spur zu kommen...

Gruß

Marco

Geschrieben

Hallo Frank,

ja du kannst debug dahinter schreiben. 'Durchstarten' musst Du bei PAM nichts. Aber sei gewarnt: Die "PAMela" ;-) kann schnell bocken und zickig werden wenn man falsche Einträge in den Dateien macht. Schlimmstenfalls kann sich keiner (auch root) nicht mehr anmelden...

Es sei dir ans Herz gelegt: The Linux-PAM System Administrators' Guide

Gruß und schönen Start in die Woche

Marco

Geschrieben

Hallo Marco,

die Meldung kommt ja anscheinend von crond:session. Ich finde aber nichts verdächtiges in der /etc/pam.d/crond.

Hier mal der Inhalt.

auth sufficient pam_rootok.so debug

auth include common-auth debug

account include common-account debug

password include common-password debug

session required pam_loginuid.so debug

session include common-session debug

Frank

Geschrieben

Hallo Frank,

die Datei crond ist noch nicht die ganze Miete. SuSE hat ja das Prinzip der includes übernommen. Die debug Option ist bei der 'include' Anweisung (control-Flag) nicht anwendbar.

Ich picke hier mal folgende Zeile heraus:

session include common-session debug

Diese Zeile besagt: Lade /etc/pam.d/common-session und arbeite den Stapel (Inhalt aus common-session) ab. Ergo versteck sich der Übeltäter in einer der common-* Dateien. Dort findest Du wahrscheinlich auch das winbind-Modul ;-)

Lösung:

A) Du übernimmst alle Zeilen (ohne die pam_winbind Zeile) aus den common-Dateien in die crond Datei.Nach dem Schema:

auth sufficient pam_rootok.so

--> Alle Zeilen aus auth include common-auth (ohne winbind-Zeile)

--> Alle Zeilen aus account include common-account (ohne winbind-Zeile)

usw.

Die include Zeilen müssen dann natürlich raus !

B) Du schaust mal ob die pam_winbind.conf (etc/security/winbind.conf) sich so modifizieren lässt das der User cron nicht getestet wird. So etwas wie UID>=500 oder so (wohl nicht möglich).

C) Du modifiziert die common-Dateien so das ein success VOR dem winbind-Modul erfolgt und der Stapel fertig. Dabei sollte man aber sich sehr gut mit PAM auskennen ;-) Bei falscher Konfiguration kann es sein das gar nichts mehr geht (auch AD nicht)

Ich denke A) hört sich ganz gut an...

Gruß

Marco

Geschrieben

Hallo Marco,

in der common-session steht folgendes.

session required pam_limits.so

session required pam_unix2.so

session required pam_winbind.so

session optional pam_umask.so

Also würde ich dann folgendes in die crond schreiben.

auth sufficient pam_rootok.so

auth include common-auth

account include common-account

password include common-password

session required pam_loginuid.so

#session include common-session

session required pam_limits.so

session required pam_unix2.so

#session required pam_winbind.so

session optional pam_umask.so

Ist das so richtig?

Frank

Geschrieben

Hallo Frank,

ja so sollte das gehen. Ich empfehle aber mit den:

auth include common-auth

account include common-account

password include common-password

nach dem gleichen Muster zu verfahren damit /etc/pam.d/crond komplett ohne include auskommt.

Gruß

Marco

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...