Hei,
ich bekam beim erfolgreichen login vor kurzem eine Meldung:
Your password has expired
Beim probieren stellte sich heraus, ich hatte ein altes Passwort genutzt
was nur noch im samba aktiv ist. Es funktionierte aber immer noch beim
ssh + sudo.

Beim mitloggen vom ssh + pam sah ich das das Passwort 2 Wege im pam
gehen konnte.
* beim linux passwort normal pam_unix,
* beim samba password via pam_winbind.

Dadurch funktionieren 2 Passwörter für einen login.
Ich kann mir nicht vorstellen das es so gewollt ist.
zumal beim pam_winbind automatisch "Your password has expired" mit dran
steht.
Die Beschreibung vom Paket erwähnt so nen tiefen eingriff ins pam nicht.

Bug oder Feature?

Grüße
Rico


Paketinfo: libpam-winbind
Version: 2:4.17.12+dfsg-0+deb12u1 (stable)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 03.05.2024 um 22:39 schrieb Rico Pietzsch:

Beim mitloggen vom ssh + pam sah ich das das Passwort 2 Wege im pam
gehen konnte.
* beim linux passwort normal pam_unix,
* beim samba password via pam_winbind.

Dadurch funktionieren 2 Passwörter für einen login.
Ich kann mir nicht vorstellen das es so gewollt ist.
zumal beim pam_winbind automatisch "Your password has expired" mit
dran steht.
Die Beschreibung vom Paket erwähnt so nen tiefen eingriff ins pam nicht.

Bug oder Feature?

Hallo,

wenn du Samba als Authentifizierungsmethode konfiguriert hast,
funktioniert natürlich auch die Anmeldung darüber.
Also: Feature.

Grüße,
Ansgar

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 04.05.2024 um 09:33 schrieb Ansgar Hellwig:

Dadurch funktionieren 2 Passwörter für einen login.
Ich kann mir nicht vorstellen das es so gewollt ist.
zumal beim pam_winbind automatisch "Your password has expired" mit
dran steht.
Die Beschreibung vom Paket erwähnt so nen tiefen eingriff ins pam nicht.

wenn du Samba als Authentifizierungsmethode konfiguriert hast,
funktioniert natürlich auch die Anmeldung darüber.
Also: Feature.

Hei,
aber ganz so korrekt scheint es ja nicht zu sein sonst würde ja der
"Your password has expire" Text ja nicht kommen.

Eigentlich ist der pam.d ja was wo man selten reinschaut. Früher muste
man die Module noch per hand einbinden, die Reihenfolge ändern oder gar parametrieren.
Ich finde diese Automatik hier schon ganzschön heftig. Da sind
unwichtigere Pakete vorsichtiger. OK, der Admin weiß was er tut ... aber
hier ist ssh+sudo gleich mit betroffen.

Grüße,
Rico

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 06.05.24 um 22:15 schrieb Rico Pietzsch:

Eigentlich ist der pam.d ja was wo man selten reinschaut. Früher muste
man die Module noch per hand einbinden, die Reihenfolge ändern oder
gar parametrieren.
Ich finde diese Automatik hier schon ganzschön heftig. Da sind
unwichtigere Pakete vorsichtiger. OK, der Admin weiß was er tut ...
aber hier ist ssh+sudo gleich mit betroffen.

Das normale Verhalten bei Debian ist, dass die installierten Dienste automatisch in einer Defaultconfiguration hoch kommen. Ein 'apt install apache2' resultiert in einem aktiven Webserver, ein 'apt install openssh-server' eine aktiven ssh Server. (Das Verhalten ist bei anderen
Distros nicht so)


Ich finde es jetzt grundsätzlich ok, das dann auch bei PAM so durchzuziehen.


Viele Grüße

Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Tue, 7 May 2024 09:40:41 -0700, Ulf Volmer <u.volmer@u-v.de> wrote:

Das normale Verhalten bei Debian ist, dass die installierten Dienste >automatisch in einer Defaultconfiguration hoch kommen. Ein 'apt install >apache2' resultiert in einem aktiven Webserver, ein 'apt install >openssh-server' eine aktiven ssh Server. (Das Verhalten ist bei anderen >Distros nicht so)

<gebetsmühle>Und ist in Debian abschaltbar</gebetsmühle>

Grüße
Marc
--
---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Tue, 7 May 2024 17:11:52 -0700, Ulf Volmer <u.volmer@u-v.de> wrote:

Am 07.05.24 um 22:00 schrieb Marc Haber:

On Tue, 7 May 2024 09:40:41 -0700, Ulf Volmer <u.volmer@u-v.de> wrote:

Das normale Verhalten bei Debian ist, dass die installierten Dienste
automatisch in einer Defaultconfiguration hoch kommen. Ein 'apt install
apache2' resultiert in einem aktiven Webserver, ein 'apt install
openssh-server' eine aktiven ssh Server. (Das Verhalten ist bei anderen
Distros nicht so)

<gebetsmühle>Und ist in Debian abschaltbar</gebetsmühle>

Danke für den Hinweis. Hat zwar niemand bestritten, aber dennoch.

Es ist halt ein Standard-Argument, das Leute aus der Red Hat welt
bringen, wenn sie begründen wollend warum sie Debian nicht mögen. In
der Red Hat Welt muss ich Gehirnschmalz investieren, wenn ich den
Dienst laufen haben möchte, in Debian kann ich mit einer gut
durchdachten, sicheren Standardkonfiguration anfangen und meine
Wünsche davon ableiten.

Im Gegensatz dazu¹ mag ich Red Hat nicht, unter anderem weil die
Directory Permissions weiter zugezogen sind, und man deswegen viel
öfter in einer Rootshell arbeiten muss, weil Shell-Globs in einer
sudo-Zeile oft nicht funktionieren.

Grüße
Marc


¹ ich weiß, auch danach war nicht gefragt
--
---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Wed, 8 May 2024 05:34:49 -0700, Ulf Volmer <u.volmer@u-v.de> wrote:

Am 07.05.24 um 08:30 schrieb Marc Haber:

On Tue, 7 May 2024 17:11:52 -0700, Ulf Volmer <u.volmer@u-v.de> wrote:
Es ist halt ein Standard-Argument, das Leute aus der Red Hat welt
bringen, wenn sie begründen wollend warum sie Debian nicht mögen. In
der Red Hat Welt muss ich Gehirnschmalz investieren, wenn ich den
Dienst laufen haben möchte, in Debian kann ich mit einer gut
durchdachten, sicheren Standardkonfiguration anfangen und meine
Wünsche davon ableiten.

Ich glaube nicht, dass man als Debian Nutzer irgendwelche
Diskriminierung erfährt und sich rechtfertigen muß.

Das ist dennoch ein beliebtes Mittagessenthema.

Grüße
Marc
--
---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Wed, 8 May 2024 14:45:13 +0200, Marco Moock <mm@dorfdsl.de> wrote:

Am 08.05.2024 schrieb Marc Haber <mh+debian-user-german@zugschlus.de>:

In der Red Hat Welt muss ich Gehirnschmalz investieren, wenn ich den
Dienst laufen haben möchte,

systemctl enable <foo>
und
systemctl start <foo>

ist jetzt meiner Erachtens nicht so viel Hirnschmalz.
Oder hab ich was vergessen?

systemctl enable --now <foo>.

Aber dann ist die Konfiguration, die aus dem Paket gefallen ist noch
lange nicht sinnvoll. Aber wenn das conffile handling so mies ist wie
bei rpm/yum/dnf/wieesauchimmerheißt dann geht das wohl nicht anders.

Ich ziehe die Debianmethode vor.

Grüße
Marc
--
---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 07.05.2024 um 18:40 schrieb Ulf Volmer:

Am 06.05.24 um 22:15 schrieb Rico Pietzsch:

Das normale Verhalten bei Debian ist, dass die installierten Dienste automatisch in einer Defaultconfiguration hoch kommen. Ein 'apt install apache2' resultiert in einem aktiven Webserver, ein 'apt install openssh-server' eine aktiven ssh Server. (Das Verhalten ist bei anderen Distros nicht so)

Ich finde es jetzt grundsätzlich ok, das dann auch bei PAM so
durchzuziehen.

naja... ganz so isses nicht.
spamassasin bleibt aus,
php läuft nicht bzw. stark eingeschränkt
bei exim mußt du durch nen configurationsdialog.

Wenn ich _apache_ _Module_ installiere bleiben sie aus ...

samba und nfs gehen auch verschiedene Wege.

Es ist auch ein Unterschied ob man ne minimalconfiguration oder einen vollständig konfigurierten Dienst vorfindet.

Zurück zu pam ... ohne gehts nunmal pam nicht.

Wieso können dort die Module nicht erstmal aus bleiben.
Wenn nun ein optionales Modul, nichts anderes ist libpam-winbind, ne
Lücke schafft....

Grüße
Rico

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 08.05.2024 um 18:18 schrieb Marc Haber:

On Wed, 8 May 2024 14:45:13 +0200, Marco Moock <mm@dorfdsl.de> wrote:

Am 08.05.2024 schrieb Marc Haber <mh+debian-user-german@zugschlus.de>:

In der Red Hat Welt muss ich Gehirnschmalz investieren, wenn ich den
Dienst laufen haben möchte,

systemctl enable <foo>
und
systemctl start <foo>

ist jetzt meiner Erachtens nicht so viel Hirnschmalz.
Oder hab ich was vergessen?

systemctl enable --now <foo>.

naja eim systemctl ist ein scheußliches Beispiel ... da hat Debian mit
den eigenen Wurzeln gebrochen und die Kompatibilät dem Fortschritt geopfert. Früher ging das mit dem init.d viel einfacher.
Aber für komplexe Probleme brauchte es komplexere Lösungen.

Daher trauere ich dem schönen gnome 2 und dem init.d nach ...
Da konnte man per hand alles einstellen. Anschalten+Ausschalten.

Dafür laufen jetzt die dist-upgrades immer schön "fast" problemfrei
durch. Das war früher spannender.

Grüße, und morgen schönen Männertag,
Rico

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Wed, 8 May 2024 18:16:04 +0200, Manfred Schmitt <expires-240630@slashproc.org> wrote:

Marc Haber schrieb:

On Tue, 7 May 2024 09:40:41 -0700, Ulf Volmer <u.volmer@u-v.de> wrote:

Das normale Verhalten bei Debian ist, dass die installierten Dienste
automatisch in einer Defaultconfiguration hoch kommen. Ein 'apt install
apache2' resultiert in einem aktiven Webserver, ein 'apt install
openssh-server' eine aktiven ssh Server. (Das Verhalten ist bei anderen
Distros nicht so)

<gebetsmühle>Und ist in Debian abschaltbar</gebetsmühle>

Ich will das zwar nicht aber:
Wie denn?

/usr/share/doc/init-system-helpers/README.policy-rc.d.gz

Ich hoffe inständig dass das auch auf systemd-systemen funktionert.
Ich weiß es nicht.

Grüße
Marc
--
---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Wed, 8 May 2024 22:09:23 +0200, Rico Pietzsch
<rico.pietzsch@freenet.de> wrote:

Früher ging das mit dem init.d viel einfacher.

Das sehe ich _sehr_ viel anders. Ich benutze heute jeden Tag
Securityfeatures von denen ich früher weder wusste dass es sie gibt
noch wie man sie benutzt. Und ich bin SEHR froh dass ich keine
Initscripte mehr debuggen muss.

Grüße
Marc
--
---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)