Specjalista od PAM poszukiwany...
Andrzej Krzysztofowicz
ankry w green.mif.pg.gda.pl
Wto, 6 Cze 2006, 18:50:35 CEST
On Tue, 6 Jun 2006, [ISO-8859-2] Marcin Król wrote:
> Przy okazji debugowania bledu w obsludze grup w nss_ldap natknalem sie
> na taki sam blad w PAM. Dla przykladu posluze sie modulem pam_limits.
> Otoz jest sobie system z ustawionymi limitami w
> /etc/security/limits.conf. Limity owe sa na grupy grupax, grupay, grupaz
> gdzie grupax ma 7 czlonkow, grypay kilkudziesieciu, a grupaz kilka
> tysiecy. PAM przelatujac odwolanie do pam_limits dochodzi w kodzie do
> wywloania _pammodutil_getgrnam() znajdujacego sie w
> modules/pammodutil/modutil_getgrnam.c:41. Wszystko dziala pieknie dla
> wszystkich trzech grup jezeli nie jest zdefiniowane HAVE_GETGRNAM_R.
> Jezeli natomiast uzywane jest getgrnam_r to wszystko pieknie zadziala
> dla grupax i grupay, a nie zadziala dla grupaz. Powod: wywolanie
> getgrnam_r (modutil_getgrnam.c:68) zwroci blad i ustawi errno na
> "Numerical result out of range" - z testow mi wyszlo ze bufor podany w
> parametrach wywolania byl za maly na pomieszczenie informacji o grupie
> grupaz. Konczy sie to tym, ze dla duzych grup limity systemowe narzucane
> przez PAM przy logowaniu itp mozna sobie w 4 litery wsadzic.
Nie tworzyc grup z duza iloscia uzytkownikow jako grup dodatkowych, a
wybierac te grupe jako grupe glowna uzytkownika?
BTW, ten sam problem jest jak sie uzywa NIS: ma ograniczenie na dlugosc
wiersza w pliku group do 1023 znakow.
> Jezeli jakis magik mialby pomysl jak to poprawic to bylbym niezmiernie
> wdzieczny, bo przekompilowywanie PAM z wymuszeniem uzycia getgrnam()
> jest bezsensowne.
--
=======================================================================
Andrzej M. Krzysztofowicz ankry w mif.pg.gda.pl
phone (48)(58) 347 14 61
Faculty of Applied Phys. & Math., Gdansk University of Technology
Więcej informacji o liście dyskusyjnej pld-devel-pl