LordNicky: Насколько я понял, DM испольузет pam-сервис login. Если поставить в нем pam_winbind - работает? Есть кстати и другие способы аутентификации через домен, без самбы - pam_ldap, pam_sss. Не знаю правда как с наличием sss под FreeBSD, но pam_ldap точно работает.
tartarelin: в том-то и прикол, что не надо - TB без галки проверяет все папки. Насчет долгой проверки - да, такое есть, у меня ящик фактически бесконечно проверяется :) (крутится значок и крутится, я даже внимания на него не обращаю)... Ну так у меня почты...много :)
LordNicky: Блин, ну и подход... То есть, он изначально строит список структур в памяти, чтобы потом в один из элементов поместить пароль? Индусский код, не иначе :) Причем, что забавно - для рута используется сервис system, а для прочих - login :D
LordNicky: Похоже да...он пытается получить список пользователей независимо от того, где запущен через getent. Пока я работал на FreeBSD, я обычно в таких случаях шипел "линуксячьи замашки" :D
Кстати, возможно это у него для отображения списка пользователей. Его (отображение) можно отключить?
Дмитрий: Отобрать права на OU, в которой комп. Тут на самом деле все зависит от многих факторов - и от квалификации того админа в первую очередь. Если он будет туда целенаправленно ломиться - то его возможно проще будет просто уволить. Обычно задача безопасности не предотвратить нечто - зачастую это невозможно - а сделать это невыгодным, сложным, неинтересным etc.
Так и здесь. Информации о том, зачем надо так сделать нет - поэтому предлагается исключительно "лобовое" решение. А возможно задачу можно было бы решить по-другому...
Это может быть например сервер СКУД или СМП, куда админ не должен иметь доступа. Вполне нормальная практика. Когда я работал в одной конторе, то админил UNIX, а на винде был вообще рядовым юзером
LordNicky: ну, тут точно pam_winbind не используется. Ищите все PAM-файлы, где упоминается pam_winbind :) DM может смотреть xdm, kdm, tdm и все что угодно, особенно если ему прописали где-то в конфиге или при сборке имя сервиса.
