apache-mod_auth_pam
Przemek Piotrowski
przemek.piotrowski w nic.com.pl
Pon, 25 Cze 2001, 06:44:58 CEST
witam
> > Czy ktoś ma działający (w sensie użytkowany) moduł auth_pam do
> >Indianina? Mógłby pochwalić się konfiguracją (przykładowy .htaccess i
> >/etc/pam.d/httpd)?
>
> 1. W pakiecie apache-mod_auth_pam brakuje dokumentacji, a IMNSHO powinna
> być.
> 2. W pakiecie brakuje /etc/pam.d/httpd
to wszystko, całkiem niezłe, jest *.tar.gz
--- apache-mod_auth_pam.spec Tue May 29 01:44:05 2001
+++ apache-mod_auth_pam.spec-nef Mon Jun 25 06:25:38 2001
@@ -36,6 +36,8 @@
install mod_%{mod_name}.so $RPM_BUILD_ROOT%{_pkglibdir}
+gzip -9nf README
+
%post
/usr/sbin/apxs -e -a -n %{mod_name} %{_pkglibdir}/mod_%{mod_name}.so 1>&2
if [ -f /var/lock/subsys/httpd ]; then
@@ -55,6 +57,7 @@
%files
%defattr(644,root,root,755)
+%doc *.gz doc samples
%attr(755,root,root) %{_pkglibdir}/*
%define date %(echo `LC_ALL="C" date +"%a %b %d %Y"`)
> A teraz zgłaszam prośbę o pomoc: do poprawnego działania auth_pam wymaga
> dostępu do bazy haseł (u mnie /var/db/shadow.db) a ja *nie chcę* dawać
> praw odczytu do niej nikomu poza rootem. Jak to zrobić? Do celów
> testowych shadow.db mam root.http 640, ale to mi się nie podoba. Czy
> moduł apacza może mieć SUID root? Chętnie poprawię ten pakiet, ale
> najpierw muszę doprowadzić do sytuacji, kiedy jego użytkowanie będzie
> bezpieczne i PLD-compiliant. Jakieś pomysły?
w apaczu 1.x moduł nie może działać z prawami innego użytkownika niż
httpd jako taki (2.x ma mieć taką możliwość)
dla rzeczy typu perl czy php obchodzi się to kompilując je jako cgi i
stosująć suexec, ale z authem to nie przejdzie
w dokumentacji podany jest ten sposób ze zmianą grupy plików shadow na
.http, ale to jest głupi pomysł imho -- użytkownik mający dostęp do
cgi-bin/php/perla etc. może napisać skrypt, który wystawi twoje
shadow na www (;
zdaje się, że to jest kwadratura koła ): rozwiązałem to przechodzać na
autentykację via pam_ldap, ale rozumiem, że to nie jest odpowiedź na
twoje pytanie
przem.
--
Opis wdrożenia systemu CRM w firmie Internet Partners.
http://krolestwo.pl/artykul/pokaz/20010623021357370
Więcej informacji o liście dyskusyjnej pld-devel-pl