PAM i PWDB

[Grzegorz Stanislawski]

On Sat, 17 Oct 1998, Tomasz Kłoczko wrote:

> Podsumowująć. Czy potwierdzisz, że najlepiej byoby gdybyśmy mieli tylko
> jeden zestaw narzędzie do autentykacji opartych o PAM, który dodatkowo
> powinien korzystać w maksymalnym zakresie z wsparcia jakie daje PWDB ?
> 
Takie jest wlasnie moje zdanie. To co mieszalem dzis bylo propozycja
jakiegos sensownego kompromisu. Ale fajnie, ze sie ze mna zgodziles ;-)

> Jeżeli tak, to kryteria doboru programu typu passwd czy logi z tego, a nie
> innego pakietu są jasne i już jednoznacznie określone i raczej
> alternatywnych zestawów narzędzi nie powinniśmy potrzebować, bo zawsze
Programy te powinny robic uzytek z pwdb.
Co do "zestawow narzedzi" na pewno bedzie potrzebne pwconv i pwunconv ze
shadow-utils i byc moze cos jeszcze.
> zakres odwołąń do baz zewnętrznych (po za unix, shadow) jest możliwy do
> jednoznacznego określenia przez /etc/pwdb.conf. Czyż tak ?
>
unix i shadow dzialaja bez zadnych ustawien, podobnie nis z zastrzezeniem
ze korzysta tylko z passwd.{byname,byuid}. Radius wymaga pliku
/etc/raddb/dictionary ktory zawiera tlumaczenia danych z paczki na nazwy
zmiennych. (pakiety z radiusd skaldaja sie z rekordow [numer_atrybutu, dane]
pwdb zamienia numer na nazwe i umieszcza dana w struct pwdb pod ta nazwa.
Pozatym radius wymaga aby w strukturze ktora ma bys wypelniona danymi o
userze byla obecna zmienna "pass_phrase", jak na razie nie ma uzdodnionego
sposobu jej umieszczania tam. Jedna z propozycji jest plik
/etc/raddb/servers o skladni: server	pass_phrase\n inna rozbudowanie
skladni /etc/pwdb.conf w stylu radius{pass_phrase=XXX}+unix  
 Pierwsza jast prostrza, druga bardziej elegancka i daje mozliwosci
rozszeszenia jej zastosowania o np nis, zeby sie dalo zrobic 
 nis{map=passwd}+nis{map=shadow}
 czyli zeby najpierw szukal danych w mapie passwd a potem hasla i reszty w
mapie shadow. Ponaciskam jeszcze troche Morgana i Gaftona to moze sie
czegos dowiem.
> 
> kloczek

Grzegorz Stanislawski
Open-Net / PKFL