Problème avec Pam

Support Debian
, ,
Tags: #<Tag:0x00007f50b0bc4a00> #<Tag:0x00007f50b0bc44d8> #<Tag:0x00007f50b0bc4208>
#1

Bonjour

J’ai un probleme sur ubuntu 18.04LTS, mais je sens que ca pourrais aussi arriver sur Debian.

Comme je sais qu’il y a des pros ici, je trouiverai donc sans doute plus facilement et rapidement une reponse que sur les forum Ubuntu:

Jusqu’a aujourd’hui j’utilisais une configuration particuliere de /etc/pam.d/common-session qui etait celle la:

#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
session	[default=1]			pam_permit.so
# here's the fallback if no module succeeds
session	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session	required			pam_permit.so
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
session	optional	pam_umask.so
# and here are more per-package modules (the "Additional" block)
session	required	pam_unix.so 
session	[success=ok default=ignore]	pam_lsass.so 
session	optional	pam_mount.so 
session	optional	pam_systemd.so 
session	optional			pam_ck_connector.so nox11
# end of pam-auth-update config

elle fonctionnait parfaitement avec pbis-open, pas de soucis pour ouvrir les sessions etc

depuis aujourd’hui, a chaque reboot, j’ai ce foutu fichier qui revient sur une configuration d’origine sortant de nulle part

#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
session [default=1]                     pam_permit.so
# here's the fallback if no module succeeds
session requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session required                        pam_permit.so
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
session optional        pam_umask.so
# and here are more per-package modules (the "Additional" block)
session optional        pam_lsass.so
session required        pam_unix.so
session optional        pam_mount.so
session optional        pam_systemd.so
session optional                        pam_mkhomedir.so
session optional        pam_ecryptfs.so unwrap
# end of pam-auth-update config

1/ Comment faire pour retrouver mon fichier à moi à chaque reboot ?

deuxièmement, j’utilise pam_mount pour monter les disques reseaux

mon fichier /etc/security/pam_mount.conf.xml n’a pas changé mais maintenant mes disques réseaux ne se montent plus, bref la m*** la plus complète, merci ubuntu!!!

A oui et le plus génial par la même occasion: Maintenant pour me connecter en SSH à ma session il ne me demande même plus mon mot de passe … youpi!!!

La totale

Comment puis je retrouver mon fonctionnement normal?

dans auth.log voilà ce que je trouve:

systemd: PAM unable to dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: cannot open shared object file: No such file or directory
systemd: PAM adding faulty module: pam_ck_connector.so

ben oui il me manque le module pam_ck_connector.so que j’active normalement dans common-session, mais je ne peux pas modifier ce foutu *** de fichier common-session !!!

Merci pour votre aide

#2

Pas d’idée qui me vienne en première lecture rapide, mais ce type de remplacement automatique inexplicable des fichiers de config, c’est justement ce qui fait qu’on est peut être pas compétents, parce que c’est le genre de trucs qu’ubuntu se permet de faire et pas debian.
Mais je suis peut être médisant.

#3

Tu peux toujours le rendre impossible à modifier: chattr +i /etc/pam.d/common-session (en root)
Le mieux serait de comprendre pourquoi ton fichier est réinitialisé à chaque démarrage, mais je n’ai pas l’ombre d’une idée.

Avec les nouvelles règles pam appliquées, je suppose ? L’application automatique de règles pam laxistes est assez inquiétante, ça vaudrait peut-être le coup de passer un scan pour vérifier la présence de rootkits, virus et autres joyeusetés.

#4

P**mais que c’est genial Ubuntu :face_with_symbols_over_mouth::face_with_symbols_over_mouth::face_with_symbols_over_mouth:

pam_ck_connector.so n’existe plus maintenant sous 18.04LTS

Il faut donc que je me repaluche en totalité la chaine d’authentification vis à vis du domaine microsoft et des montages des disques réseaux via pam

Je te jure, on voit vraiment que c’est fait par des mecs qui ont du temps à gaspiller…

#5

Ben tant qu’il y aura des mecs qui ont du temps à gaspiller en installant des ubuntu pour des usages sérieux, ça continuera.

#6

Ben oui, mais sur ce coup là je n’ai pas le choix.

Les utilisateurs sont des devs et ingé donc ce sont eux qui décident et à moi de faire que cette bouse fonctionne correctement dans mon domaine AD.

Oui je n’ai pas de soucis avec mes serveurs debian.

#7

Je m’y connais assez peu dans le domaine de l’authentification pam, mais simplement lire :

 This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

Traduction simplifiée :

Avec pam 1.0.1-6, le fichier /etc/pam.d/common-session n’est plus configurable directement en le modifiant, il faut passer désormais par l’utilitaire pam-auth-update pour le modifier. Plus d’explications avec :
# man pam-auth-update