openssh unix dev - Jun 2002 - SSH / PAM Problem

Hallo

da mein English nicht so gut ist und bei der ?bersetzung auch noch
Missverst?ndnisse auftretten k?nnten, hier das Orginal :-)

Das Problem ist, dass bei der Kombination openssh pam und ldap, die
Verbindung zum Ldapserver so lange offen gehalten wird bis die ssh
Session geschlossen wird. Das ist nur bei SSH so ! Alle andere Dienste
sprechen den Server an und schliessen nach Best?ttigung des Passwortes
die Session zum Ldapserver. Offene Sockets sind nicht so toll da
irgendwann bei unserer User Anzahl keine freien Sockets mehr zur
Verf?gung stehen w?rden.

Gruss aus D?sseldorf

Frank Beckmann

-------- Urspr?ngliche Nachricht --------
Betreff: SSH / PAM Problem
Datum: Tue, 11 Jun 2002 13:34:46 +0200
Von: Cengiz Tuztas <Cengiz.Tuztas at Sun.COM>
Firma: Sun Microsystems GmbH
An: Frank.Beckmann at vodafone.de, Stefan.Altgen at vodafone.de

Hallo *,

das Problem bei ssh und pam besteht darin, da? der sshd die pam anzieht
aber erst wieder frei gibt, wenn der Benutzer die Sitzung beendet.
Hierzu wird zuerst pam_start aufgerufen. Dies authentisiert basierend
auf der pam.conf den Benutzer. Danach wird Accountmanagement
durchgef?hrt. Zum Schlu? folgt session. Diese Stufen werden pam -
Konform durchlaufen. Jedoch wird nachdem session durchgef?hrt wird nicht
pam_end aufgerufen. pam_end ruft die cleanup - Callbacks der einzelnen
Module auf. Da dies nicht aufgerufen wird, werden offene Filehandles
gehalten und sockets nicht geschlossen. pam_end wird erst aufgerufen,
wenn der Benutzer die Verbindung beendet.

Ich hoffe, es ist nicht allzu konfus.

Gru?
Cengiz



---------------------------------------------------------
This Mail has been checked for Viruses
Attention: Encrypted mails can NOT be checked!

**

Diese Mail wurde auf Viren geprueft
Hinweis: Verschluesselte mails koennen NICHT auf Viren geprueft werden!
---------------------------------------------------------



-- 
Frank Beckmann
Abt. 	FBTU
Tel: 	0211 533-5758
Fax:    0211 533-1451
Mail    Frank.Beckmann at vodafone.de


-- 
Frank Beckmann
Abt. 	FBTU
Tel: 	0211 533-5758
Fax:    0211 533-1451
Mail    Frank.Beckmann at vodafone.de

can a PAM LDAP user comment on how the pam_ldap module is
supposed to close the connection to the LDAP server after
authentication is complete and before the user terminates
the connection?  we can assume the Sun module I suppose.

On Tue, Jun 11, 2002 at 02:09:51PM +0200, Frank Beckmann
wrote:
> Hallo
> 
> da mein English nicht so gut ist und bei der ?bersetzung auch noch
> Missverst?ndnisse auftretten k?nnten, hier das Orginal :-)
> 
> Das Problem ist, dass bei der Kombination openssh pam und ldap, die
> Verbindung zum Ldapserver so lange offen gehalten wird bis die ssh
> Session geschlossen wird. Das ist nur bei SSH so ! Alle andere Dienste
> sprechen den Server an und schliessen nach Best?ttigung des Passwortes
> die Session zum Ldapserver. Offene Sockets sind nicht so toll da
> irgendwann bei unserer User Anzahl keine freien Sockets mehr zur
> Verf?gung stehen w?rden.
> 
> Gruss aus D?sseldorf
> 
> Frank Beckmann
> 
> -------- Urspr?ngliche Nachricht --------
> Betreff: SSH / PAM Problem
> Datum: Tue, 11 Jun 2002 13:34:46 +0200
> Von: Cengiz Tuztas <Cengiz.Tuztas at Sun.COM>
> Firma: Sun Microsystems GmbH
> An: Frank.Beckmann at vodafone.de, Stefan.Altgen at vodafone.de
> 
> Hallo *,
> 
> das Problem bei ssh und pam besteht darin, da? der sshd die pam anzieht
> aber erst wieder frei gibt, wenn der Benutzer die Sitzung beendet.
> Hierzu wird zuerst pam_start aufgerufen. Dies authentisiert basierend
> auf der pam.conf den Benutzer. Danach wird Accountmanagement
> durchgef?hrt. Zum Schlu? folgt session. Diese Stufen werden pam -
> Konform durchlaufen. Jedoch wird nachdem session durchgef?hrt wird nicht
> pam_end aufgerufen. pam_end ruft die cleanup - Callbacks der einzelnen
> Module auf. Da dies nicht aufgerufen wird, werden offene Filehandles
> gehalten und sockets nicht geschlossen. pam_end wird erst aufgerufen,
> wenn der Benutzer die Verbindung beendet.
> 
> Ich hoffe, es ist nicht allzu konfus.
> 
> Gru?
> Cengiz
> 
> 
> 
> ---------------------------------------------------------
> This Mail has been checked for Viruses
> Attention: Encrypted mails can NOT be checked!
> 
> **
> 
> Diese Mail wurde auf Viren geprueft
> Hinweis: Verschluesselte mails koennen NICHT auf Viren geprueft werden!
> ---------------------------------------------------------
> 
> 
> 
> -- 
> Frank Beckmann
> Abt. 	FBTU
> Tel: 	0211 533-5758
> Fax:    0211 533-1451
> Mail    Frank.Beckmann at vodafone.de
> 
> 
> -- 
> Frank Beckmann
> Abt. 	FBTU
> Tel: 	0211 533-5758
> Fax:    0211 533-1451
> Mail    Frank.Beckmann at vodafone.de
> 
> 
> _______________________________________________
> openssh-unix-dev at mindrot.org mailing list
> http://www.mindrot.org/mailman/listinfo/openssh-unix-dev