pwdb-apps - pierwsze podejscie
Grzegorz Stanislawski
stangrze w open.net.pl
Śro, 14 Paź 1998, 12:34:16 CEST
On Mon, 12 Oct 1998, Tomasz Kłoczko wrote:
> On Mon, 12 Oct 1998, Grzegorz Stanislawski wrote:
> [..]
> > > Możesz podać jakieś konkretne powody dla których powyzsze miałoby wyprzeć
> > > wersje z shadow-utils ?
> > Owszem, sa. Zadaniem pwdb jest odizolowanie programow od tego gdzie dane o
> Grzesiek czekaj. Może ja czegoś nie rozumiem i w razie czego PLS wytłumacz
> ale wydaje mi się, że powyższe załątwi poprostu używanie modułu pam_pwdb
Chyba rzeczywiście nie rozumiesz ;-)
Jeszcze raz powtarzam: PAM służy tylko i wyłącznie do autentykacji. W
szczególności pam_pwdb pobiera z bazy danych _tylko_ login i hasło
inne dane nie są nawet odczytywane. Jak nie wierzysz zaglądnij do źródeł
albo na http://www.redhat.com/linux-info/pam/what_pam_is_not.html
Jak wogóle wyobrażasz sobie przekazywanie tych danych aplikacji przez
pam_env? Skąd PAM ma wiedzieć, która dana z pwdb jest danej aplikacji
portrzebna, może więc przekopiować wszystkie? W wyniku tego do env'a trafi
także hasło, więc miże dać if'a i go pominąć, ale co wtedy jeśli aplikacja
to passwd?
W libpwdb nie ma możliwości wyświetlenia dostępnych pól bazy, można sie
tylko zapytać jej czy jakieś pole jest "wspierane" przez bazę. Co więcej
nie ma przeszkód by bazę rozwijać o nowe pola. Np przy korzystaniu z
radiusa do struktury pwdb sa dodawane wszyskie dane jakie przyslal w
odpowiedzi serwer, lacznie z np. default gateway (sa juz odpowiednie
patche na pppd do tego)
pam_pwdb nie będzie wstanie nigdy tego ogarnąć, lepiej więc pozostawić
aplikacji gadanie z pwdb i sciąganie tych informacji których potrzebuje.
> (i to miałem na mysli pisząc o PAM). Prezecież aplikacje nie powinny być
> pisane pod PWDB tylko w razie czego powinny być pisane pod PAM. Inna
Nie mam pojęcia dlaczego utarło się ze pwdb to backend dla PAM.
Rzeczywiście napisali go ci sami ludzie i mniej więcej w tym samym czasie
i póki co pam_pwdb to jego jedyne zastosowanie. Ale tylko dlatego że to
bardzo świeża biblioteka. Pozwól, że zacytuje kawałek dokumentacji:
------
It is desirable for applications to be able to obtain user-information
in a transparent manner. At the same time certain applications might
like to obtain information from a specific database for a given user -
these applications might perform the task of maintaining and updating
databases for example. The functions of libc, do not currently offer
this flexibility. It is for this reason that <em/libpwdb/ has been
created. It is intended to provide a flexible and yet simple database
management primarily for user and group information under Linux
systems. An API that all applications can use.
------
W tej chwili pwdb szykuje sie do wielkiej przerobki, ma byc modularne tak
jak pam.
> sprawa, to to, że PWDB nie jest wykończone jeśli chodzi o NIS i tu nic nie
> wskrasz o ile samego PWDB nie skończysz. Owo jest powodem dla którego w
Jest to typowy objaw wieku niemowlęckiego każdego porgramu.
Nie wszystko jest jeszcze napisane. Ale NIS chodzi, tylko hasla musza byc
w mapie passwd, a nie w shadow'ie. Nie jest to duza ulma dla
bezpieczenstwa, bo hasla i tak i tak lataja po sieci. (zeby chodzilo
wystarczy dolozyc do nisowego makefila pwunconv i pwconv)
Polecam natomiast kombinacje nis+radius.
. W każdym razie, jak by sie nie rozwijalo pwdb, mój chfn jest na to
gotowy.
> kloczek
Grzegorz Stanisławski
Open-Net / PKFL
Więcej informacji o liście dyskusyjnej pld-devel-pl