Problemi di implementazione PAM

[giacomolg]

Ciao,
la mia necessità è quella di limitare in modo temporale l'utilizzo di kppp da parte dell'utente lorenzo, attraverso il modulo pam_time.so
Ho perciò modificato /etc/security/time.conf, aggiungendo questa riga: kppp;*;lorenzo;Al1830-0800&Sa1330-2400&Su0000-2400

il file /etc/pam.d/kppp appare come segue:

#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_stack.so service=system-auth
session optional pam_xauth.so
account requisite pam_time.so
account required pam_permit.so


Io vorrei che l'utente lorenzo, non riuscisse ad aprire kppp, per esempio, alle 10:00 del martedì mattina...ma questo non sembra accadare

Dove sbaglio?
Graxie grazie grazie!!

[l.golinelli]

Cosa dice /var/log/auth?

[francofait]

errore di scrittura:

account requisite pam_time.so error

account required pam_time.so

[giacomolg]

Originariamente inviato da francofait
errore di scrittura:

account requisite pam_time.so error

account required pam_time.so

Ho perciò riscritto /etc/pam.d/kppp come segue:

#%PAM-1.0
auth sufficient pam_rootok.so
#auth required pam_time.so
auth required pam_stack.so service=system-auth
session optional pam_xauth.so
#account requisite pam_time.so
account required pam_time.so debug
account required pam_permit.so

per verificare se va posso fare "su lorenzo" e poi digitare kppp?
il file di log /var/log/auth non ce l'ho.................

[Ikitt]

Originariamente inviato da francofait
errore di scrittura:

account requisite pam_time.so error

account required pam_time.so

No, esistono entrambi e hanno significati leggermente diversi:

codice:

# required; this indicates that the success of the 
module is required for the module-type facility to succeed. 
Failure of this module will not be apparent to the user 
until all of the remaining modules (of the same module-type)
have been executed.
# requisite; like required, however, in the case that
such a module returns a failure, control is directly 
returned to the application. The return value is that 
associated with the first required or requisite module to 
fail. Note, this flag can be used to protect against the 
possibility of a user getting the opportunity to enter a 
password over an unsafe medium. It is conceivable that such 
behavior might inform an attacker of valid accounts on a 
system. This possibility should be weighed against the not 
insignificant concerns of exposing a sensitive password in a
hostile environment.

http://www.it.kernel.org/pub/linux/l...tml/pam-4.html

Non posso entrare nel merito specifico del thread perche` non ho familiarita` con pam_time...

[giacomolg]

Ho controllato sul sito e su un libro di linux security, e sembra che il file /etc/pam.d/kppp vada bene.
Però se mi loggo come lorenzo posso tranquillamente aprire kppp (nel file di configurazione ho impostato kppp;*;lorenzo;!Al0000-2400).

[giacomolg]

E' poi possibile dire a PAM di avviare una piccola applicazione in caso pam_time fallisca (ovvero lorenzo abbia aperto kppp in orari proibiti)??


pam_time non mi va ancora , è forse perchè non ho il file /var/log/auth?

Grazie !