Radius (Bylo: Kilka rzeczy ...)

[Grzegorz Stanislawski]

On Thu, 29 Apr 1999, Tomasz Kłoczko wrote:

> pppd i suid root
> ================
> 
> Odświerże nieco dyskusję na ten temat. Obecnie wczoraj zmodyfikowany przez
> piusa pakiet nie ma suida na pppd. To jest stan obecny. Z tego co mi się
> przypomina to rozwiązania były dwa:
> 
> - zgodzenie się na suid root na pppd,
> 
> - brak suid root na pppd ale jednocześnie wprowadzeniejakiś narzędzi które

suid jest jeszcze potrzebny do modyfikowania tablicy routingu jesli mamy
miec default gateway via ppp po stronie klienta, oraz (chyba) rowniez do
robienia proxyarp po strone serwera.
Do tech dochodza prawa dostepu do plikow z haslami CHAP lub PAP oraz do
/dev/tty na ktorym chodzi.
Jak tego nie zobacze to nie uwierze, gdzie znalezc tego bezsuidowego
pppd??

>   umożliwiłby sprawnie robienie PPP serwera. Kandydatem byłby tu raczej
>   Radius.
> Osobiście jestem za drugim rozwiązaniem. Osobiscie na radiusie znam się
> mniej niz kiepsko ale z tego co pamiętam są wsród nas osoby mjące
> doświadczenie z tymi narzedziami. Możnaby się IMHO spróbwać skupiś nad tym
> żeby zrobić poprawny i pełny support do radiusa. Jezlei potrzebne by było
> napisanie jakiegoś małego narządka to chętnie sam pomogą.
> 
To zalezy co sie ma na mysli mowiac "pelny support do radiusa".
Jesli chodzi o autentykacje:
Mozna zrobic to na conajmniej 4 sposoby. Po kolei:
- doladowywac biblioteke obslugujaca radiusa do pppd 
(takie cos jest w portslavie, ale jeszcze nie do konca to rozgryzlem)
- mozna napisac/znalezc modul do libnss, robiacy zapytania do radiusa
(najbardziej globalne rozwiazanie, bo kazde wywolanie
getpwent() bedzie sie pytalo radiusa o dane, ale jedno z gorszych,
poniewaz mozna przekazywac _tylko_ takie dane ktore sa w /etc/passwd i
shadow. Zeby jeszcze dobic powiem ze nie ma spojnej numeracji atrybutow
typu Unix-{uid|gid|shell|...}, sam radius natomiast nie obsluguje zapytan
"informacyjnych")
- Mozna to zrobic przy pomocy PAM'a. modul radius_auth juz jest.
(imho jest to rozwiazanie najgorsze poniewaz jedyna informacja jaka mozna
w ten sposob wydobyc od radiusa jest to czy para User-Name i Password jest
prawidlowa)
-Jakies slady obslugi radiusa sa tez w libpwdb, ale ze sposobu jak to jest
tam zrobione wynika ze chlopaki nie maja pojecia jak dziala radius, a
mojego patcha ktory to poprawial - olali. Zreszta libpwdb jest martwe od
dluzszego czasu.
-Mozna wreszczie przepisac programy tak aby korzystaly z PNIAM'a i do tego
powolutku sobie zmierzalem.
 
Jesli chodzi o acounting:
w dwu slowach mozna napisac ze robi sie totalny balagan.
Jesli wezmiemy rozwiazanie z portslave'a to mamy osobno logi w utmp/wtmp
tych co sie logowali na konsole czy przez siec, osobno tych co do
portslave'a. Oba logi sa kompletnie niespojne.
Jesli zrobimy to PAMem to mozeby wybrac czy logi, juz wszystkich
polaczen, ida do utmp (pam_unix_session) czy radiusa (pam_radius).
Wada jest taka ze jak lezy serwer radiusa lezy to nie zalogujemy sie nawet
na konsoli (optional przy pam_radius nie pomaga, chyba ze ktos poprawi kod)
Libnss nie dotyka wogole tego tematu, w libpwdb jest na to zostawione
miejsce (i juz 2 lata lezy puste).
PNIAM w tej kwesti jest biala kartka, nie ma jeszcze zadnego modulu do
acountingu. Wybaczcie ale jak sie jest we dwoch to robota powoli idzie.  
Natomiast moge was zapewnic ze mozliwosci ma najwieksze.

> /etc/rc.d/rc.media i rc-scripts
> ===============================
> 
> Myślę, że to możnaby rozwinąć do czegoś co umożłiwiłoby posłuiwanie się
> dyskami cześto przenoszonymi w sposób cywilizowany o czym już tu traz
> dyskutowaliśmy.
> 
Mnie sie to podoba ;-)

> kloczek
> -- 
Grzegorz Stanislawski
Open-Net / PKFL