Les options à utiliser sont sufficient et required.
Sufficient dit que si l'authentification a abouti la première fois pas besoin d'aller plus loin dans la consultation des autres modules.
En revanche si l'authentification n'a pas abouti à cause d'un login incorrect ou d'un mauvais password alors il faut passer au module suivant, et c'est là que le required intervient, si le required échoue c'est toute l'authentification qui échoue (pas de consultation des modules suivants).
Il éxiste en outre une option très pratique qui se nomme "use_first_pass" qu'il faut positionner sur le deuxième module.
Un petit exemple vaut mieux qu'un long discours.
Imaginons que ton système est configuré pour consulter en premier LDAP puis ensuite les comptes locaux (/etc/passwd etc...), tu disposes d'un compte local appelé "toto" avec un mot de passe et tout et tout.
Tu te loggues sur ta machine, elle va vérifier sur l'annuaire le couple login/passwd que tu as fourni, imaginons qu'il n'y a pas de toto dans le LDAP, l'authentification échoue (normal), le PAM est configuré pour consulter ensuite la base de compte locale et transmets à nouveau le couple login/passwd que tu as saisi (grâce à l'option use_first_pass), si l'authentification aboutie tu es loggué.
Dans tout ça, tu n'a saisi qu'une fois le couple login/passwd et c'est PAM qui s'est débrouillé tout seul...
Tout est dans le titre, cela dit si les users locaux ne fonctionnent pas ça va pas être évident pour se connecter...
Je mise quatres espadrilles sur un problème PAM
Il y a à ma connaissance une autre façon de procéder, mais cette fois c'est spécifique à PAM, j'ai la flemme de chercher mais je suis sûr que tu trouvera :-)
he bien figure toi non ; car comme je le précisais je vais travailler en proche banlieue et par là bas les stations ne sont pas légions (j'avais vérifié avant d'ailleurs).
Si on compare à Debian : 1996 (1.1), 1996 (1.2), 1997 (1.3), 1998 (2.0), 1999 (2.1), 2000 (2.2), 2002 (3.0), 2005 (3.1), 2007 (4.0), 2009 (5.0). on voit bien que Debian sort autant souvent que Windows et Mac OS.
Et pourtant Mac OS et Windows sont loin d'être aussi obsolètes que Debian (is dying).
à défaut de pouvoir complètement réguler/contrôler internet, on le diabolise.
Je ne vois pas en quoi le trafic de point serait plus grave sur internet que sur le minitel, les petites annonces dans les journaux ou encore dans des réseaux privés.
Ah, on me souffle à l'oreille qu'avec internet on ratisse beaucoup plus large que les autres médias et que n'importe qui a la liberté de créer des réseaux et/ou des sites pour organiser du trafic.
disons que d'un point de vue implantation ; le perl l'emporte sur python.
En effet, tout du moins sous Aix, l'interpréteur python n'est pas installé par défaut, mais cela reste evidemment possible de l'ajouter par la suite (dans les fileset GNU fournis par ibm je suppose)
Sous solaris, je n'en sais rien mais ça m'étonnerait.
Après d'un point de vue syntaxe, le perl reste quand même plus proche du bash, donc c'est moins déroutant pour l'admin.
Pour moi, perl remplace avantageusement le shell pour tout traitement un tant soit peu complexe (on evite de multiplier le nb de process cut, grep, etc... que l'on rencontrerait avec du bash/ksh).
Maintenant, je ne saisis toujours pas l'intérêt du python, je ne déteste pas l'approche objet, mais pour de l'admin ça me parait démesuré ; après c'est vrai qu'on est pas obligé de faire de l'objet avec python mais bon on se retrouve avec une syntaxe bien mois familière, donc pour quel bénéfice finalement ?
J'espère que les pythonneux vont arriver à me convaincre à m'investir dans ce langage !
en ce qui concerne l'ASM, ce n'est pas vraiment un système de fichier dans le sens où les tablespace ne sont pas visibles depuis unix.
L'ASM du point de vue de l'admin unix, c'est un peu comme un raw device, sauf que cette fois plus besoin de créer de Volume Group ni de Logical Volume, tout est géré par Oracle (et après on vient dire que emacs est un OS !!).
L'OS ne fait que servir à Oracle des disques (SAN la plupart du temps), et Oracle se débrouille pour faire le mirroring etc...
[^] # Re: peut-etre qu'avec les extraits de tes fichiers de configuration...
Posté par Dabowl_92 . En réponse au message SSH + LDAP : aucune connection acceptée. Évalué à 5.
Sufficient dit que si l'authentification a abouti la première fois pas besoin d'aller plus loin dans la consultation des autres modules.
En revanche si l'authentification n'a pas abouti à cause d'un login incorrect ou d'un mauvais password alors il faut passer au module suivant, et c'est là que le required intervient, si le required échoue c'est toute l'authentification qui échoue (pas de consultation des modules suivants).
Il éxiste en outre une option très pratique qui se nomme "use_first_pass" qu'il faut positionner sur le deuxième module.
Un petit exemple vaut mieux qu'un long discours.
Imaginons que ton système est configuré pour consulter en premier LDAP puis ensuite les comptes locaux (/etc/passwd etc...), tu disposes d'un compte local appelé "toto" avec un mot de passe et tout et tout.
Tu te loggues sur ta machine, elle va vérifier sur l'annuaire le couple login/passwd que tu as fourni, imaginons qu'il n'y a pas de toto dans le LDAP, l'authentification échoue (normal), le PAM est configuré pour consulter ensuite la base de compte locale et transmets à nouveau le couple login/passwd que tu as saisi (grâce à l'option use_first_pass), si l'authentification aboutie tu es loggué.
Dans tout ça, tu n'a saisi qu'une fois le couple login/passwd et c'est PAM qui s'est débrouillé tout seul...
[^] # Re: peut-etre qu'avec les extraits de tes fichiers de configuration...
Posté par Dabowl_92 . En réponse au message SSH + LDAP : aucune connection acceptée. Évalué à 2.
sinon il faut un compte LDAP ET un compte linux
pour pouvoir s'identifier
je ne vois pas ce que tu cherches à dire mais il n'y a absolument pas besoin d'avoir un clone du compte en local...
[^] # Re: Que donnent les logs SSH ?
Posté par Dabowl_92 . En réponse au message SSH + LDAP : aucune connection acceptée. Évalué à 1.
A première vue le nsswitch.conf n'utilise pas le même ordre que PAM pour retrouver les comptes.
Sinon, je ne saurais trop te conseiller ce tuto (qui commence à dater mais toujours efficace) :
http://articles.mongueurs.net/magazines/linuxmag67.html
Des détails sont surement à adapter mais en gros tout est là.
# Que donnent les logs SSH ?
Posté par Dabowl_92 . En réponse au message SSH + LDAP : aucune connection acceptée. Évalué à 3.
[^] # Re: Spanning tree
Posté par Dabowl_92 . En réponse au journal Informatique fondamentale : chemins dans un graphe. Évalué à 5.
[^] # Re: Mais aussi ...
Posté par Dabowl_92 . En réponse au journal Petit bilan à l'occasion des 11 ans du site. Évalué à -1.
# Limiter l'accès à certains serveurs
Posté par Dabowl_92 . En réponse au message [LDAP] Conception annuaire d'entreprise. Évalué à 1.
La première, c'est les netgroup, un héritage de NIS qui a la particularité de fonctionner avec tous les unices (aix solaris etc..).
Hop, une petite URL qui va bien :
http://directory.fedoraproject.org/wiki/Howto:Netgroups
Il y a à ma connaissance une autre façon de procéder, mais cette fois c'est spécifique à PAM, j'ai la flemme de chercher mais je suis sûr que tu trouvera :-)
# partition de table ?
Posté par Dabowl_92 . En réponse au journal Performance MYSQL. Évalué à 1.
Je ne sais pas si c'est possible avec mysql.
[^] # Re: ...
Posté par Dabowl_92 . En réponse au journal vélib et moi, après trois jours d'utilisation. Évalué à 1.
[^] # Re: Huh ?
Posté par Dabowl_92 . En réponse au journal vélib et moi, après trois jours d'utilisation. Évalué à 3.
Si je ne savais pas m'en servir, alors pourquoi ai-je réussi à m'en servir les premiers jours ?
Non, tu ne cherches pas à comprendre plus loin que le bout de ton nez, c'est tellement plus simple de reporter la faute sur les autres \o/
[^] # Re: Frédéric Lefebvre
Posté par Dabowl_92 . En réponse au journal Albanel is out. Évalué à 6.
Faut juste espérer que lui aussi se fera oublier...
[^] # Re: Profitez-en avant qu'il n'y en ait plus !
Posté par Dabowl_92 . En réponse au journal Hadopi : le prestataire pour la partie applicative a été selectionné. Évalué à 1.
# salut alice<
Posté par Dabowl_92 . En réponse au journal Européennes et machines à voter. Évalué à -7.
--> [*]
[^] # Re: Euh...
Posté par Dabowl_92 . En réponse au journal La mise à jour de Snow Léopard sera vendu 29$. Évalué à -1.
Et pourtant Mac OS et Windows sont loin d'être aussi obsolètes que Debian (is dying).
# très intéressant
Posté par Dabowl_92 . En réponse à la dépêche Le noyau Linux 2.6.30 est disponible. Évalué à 10.
Vu son gabarit, je vais devoir demander un budget de deux heures pour "veille techno", je reviens après /o\
[^] # Re: d'un autre coté...
Posté par Dabowl_92 . En réponse au journal Signes avant-coureurs d'une externalisation ?. Évalué à 3.
[^] # Re: Compétence, confiance et tout ça...
Posté par Dabowl_92 . En réponse au journal Signes avant-coureurs d'une externalisation ?. Évalué à 4.
Enfin, invisibles ou presque par le decisionnel mais très visible pour l'opérationnel !
[^] # comme on dit sur la tribune
Posté par Dabowl_92 . En réponse au journal Signes avant-coureurs d'une externalisation ?. Évalué à 0.
# internet incontrôlable
Posté par Dabowl_92 . En réponse au journal Internet, circonstance aggravante. Évalué à 10.
Je ne vois pas en quoi le trafic de point serait plus grave sur internet que sur le minitel, les petites annonces dans les journaux ou encore dans des réseaux privés.
Ah, on me souffle à l'oreille qu'avec internet on ratisse beaucoup plus large que les autres médias et que n'importe qui a la liberté de créer des réseaux et/ou des sites pour organiser du trafic.
La liberté sai mal.
[^] # Re: Make your own choice...
Posté par Dabowl_92 . En réponse au message [Programmation] Shell / Perl / Python. Évalué à 2.
Grave erreur à mon avis ! Ce sont précisement ces contraintes qui vont faire qu'on ne te laissera pas le choix du langage !
# perl ?
Posté par Dabowl_92 . En réponse au message [Programmation] Shell / Perl / Python. Évalué à 2.
En effet, tout du moins sous Aix, l'interpréteur python n'est pas installé par défaut, mais cela reste evidemment possible de l'ajouter par la suite (dans les fileset GNU fournis par ibm je suppose)
Sous solaris, je n'en sais rien mais ça m'étonnerait.
Après d'un point de vue syntaxe, le perl reste quand même plus proche du bash, donc c'est moins déroutant pour l'admin.
Pour moi, perl remplace avantageusement le shell pour tout traitement un tant soit peu complexe (on evite de multiplier le nb de process cut, grep, etc... que l'on rencontrerait avec du bash/ksh).
Maintenant, je ne saisis toujours pas l'intérêt du python, je ne déteste pas l'approche objet, mais pour de l'admin ça me parait démesuré ; après c'est vrai qu'on est pas obligé de faire de l'objet avec python mais bon on se retrouve avec une syntaxe bien mois familière, donc pour quel bénéfice finalement ?
J'espère que les pythonneux vont arriver à me convaincre à m'investir dans ce langage !
[^] # Re: L'option -i ...
Posté par Dabowl_92 . En réponse au message faire un paste de deux commandes. Évalué à 3.
# ..
Posté par Dabowl_92 . En réponse au sondage rm -rf / me donne. Évalué à -1.
[^] # Re: Contribution
Posté par Dabowl_92 . En réponse à la dépêche Oracle achète Sun. Évalué à 6.
L'ASM du point de vue de l'admin unix, c'est un peu comme un raw device, sauf que cette fois plus besoin de créer de Volume Group ni de Logical Volume, tout est géré par Oracle (et après on vient dire que emacs est un OS !!).
L'OS ne fait que servir à Oracle des disques (SAN la plupart du temps), et Oracle se débrouille pour faire le mirroring etc...
# quelques éléments de réponse
Posté par Dabowl_92 . En réponse au message Manipuler le cache du système de fichier. Évalué à 3.
cat fichier > /dev/null
Pour connaitre la liste des fichiers dans le cache, je ne sais pas du tout comment on peut faire ça sous linux, mais ça doit exister probablement.
Sinon, en cherchant deux minutes, j'ai trouvé ça qui a l'air pas mal :
http://www.linuxhq.com/guides/TLK/fs/filesystem.html