radiusd-merit

Grzegorz Stanislawski stangrze w open.net.pl
Wto, 22 Wrz 1998, 00:26:16 CEST 

On Mon, 21 Sep 1998, Tomasz Kłoczko wrote:

> On Mon, 21 Sep 1998, Grzegorz Stanislawski wrote:
> 
> > Witam.
> >  Myslę, że pakiecik z powyższym jest juz gotowy, Niestety przez
> > niedopatrzenie nie usunąłem z Makefile'a -DNOSHADOW a wyeksportowalem go
> W porządku ale ;) ..
> nie ma sprawy wciągnę go tylko mam jeszcze pytanie dotyczące radiusa i
> PAM. NA tronach PAMowych są odnośniki do modułów PAM do radiusa.
> Sprawdzałeś to kiedyś ?
Tak. Moduł radius do PAM'a zawiera _tylko_ accounting i dodaje sie go
tylko jako:
 "session    optional     /lib/security/pam_radius.so"
I tak go używam na starduscie.
Jak to napisał autor modulu, pam_radius można używać jako zamiane do
utmp/wtmp. Muszę jednak nadmienić, że logi radiusa są koszmarne do
przetwarzania. Doprowadzenie do formy takiej jak w last to 4k kodu w
pythonie. (u mnie po przetworzeniu trafiaja do postrgesa)
 U mnie akurat pam_radius jest jako backupowy log sesji, co bym
wiedział co się działo jakby mi jakiś hacker wyedytowal wtmp. (pewnie nie
powinienem o tym mowić ;-)). 
Moduł do autentykacji przez radiusa pojawił się kiedyś na pam-list.
Autor:  Alan DeKok (alan w cryptocard.com) ftp: ftp://ftp.cryptocard.com/pub/alan/
na tym samym sicie powinien tez sie znajdować taki sam modół tylko dla
apacha. 
Problem z tym, że nie udało mi się go wdrożyć.

Wsparcie dla radiusa jest też robione w libpwdb, ale również jeszcze nie
chodzi. Przynajmniej mi się go nie udało.
Skoro już jestem przy libpwdb: Co sądzicie o robieniu autentykacji przez
postgresa, jako części libpwdb. Wstępne przymiarki wyglądają obiecująco,
można przekazywać aplikacji dowolne dane jakie mogą wyskoczyć z kwerendy.
Ja akurat potrzebowałem ograniczania czasu sesji: login bierze to z pwdb
ustawia alarm i po alarmie kiluje swoich potomków (basha czy pppd)
(libpwdb ma do tego swojego rodzaju typ słownikowy, aplikacja może
poprosić o jakaś daną przekazując jej nazwę w char*). Jedyna wada to (z
tego co narazie widzę), musi to się odbywać z pominięciem PAM'a gdyż
pam_pwdb jest troche dziwacznie napisany.
  
 > I druga sprawa z tym -DNOSHADOW .. czy to oznacza,
> że nie szuka/linkuje z libshadow korzystając z tego co jest w libc ?
> 
Nie, -DNOSHADOW powoduje że radius oczekuje /etc/passwd w starym stylu
"vanilla unix". Bez tego, korzysta z libca, ewentualnie dla niektorych
platform jest w makefile'u wpisane explicite -lshadow. Dla linuxa
kompiluje się z samym libcem.  

> Jeżeli teraz nie ma tam wsparcia do PAM to o ile same poprawki nadają się
> na systemy produkcyjne ot myślę, że w następnym kroku możesz popróbować :)
> 
Przymierzałem się już raz do tego. Kupa roboty.

> kloczek
> -- 

Grzegorz Stanislawski
Open-Net / PKFL

Więcej informacji o liście dyskusyjnej pld-devel-pl