* Re: [devel] squid authorization
@ 2009-02-12 0:45 ` Dmitry V. Levin
2009-02-12 12:23 ` Pavel Wolneykien
1 sibling, 1 reply; 6+ messages in thread
From: Dmitry V. Levin @ 2009-02-12 0:45 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 496 bytes --]
On Wed, Feb 11, 2009 at 05:00:53PM +0300, Pavel Wolneykien wrote:
> Мне удалось настроить авторизацию через PAM следующим образом:
>
> $ sudo ls -l /usr/lib/squid/pam_auth
> -rwx--s--x 1 root auth 13756 Nov 11 03:21 /usr/lib/squid/pam_auth
Для проверки чужих паролей процесс должен входить сразу в 2 группы,
shadow и auth.
Лучше добавить пользователя squid в группу auth, и сделать файлу
/usr/lib/squid/pam_auth sgid на группу shadow (вместо auth).
См. tcb(5).
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 6+ messages in thread
* [devel] Fwd: Re: [Platform50-dev] Proxy authorization
@ 2009-02-12 11:50 ` Pavel Wolneykien
2009-02-12 12:11 ` Alexey I. Froloff
0 siblings, 1 reply; 6+ messages in thread
From: Pavel Wolneykien @ 2009-02-12 11:50 UTC (permalink / raw)
To: devel; +Cc: Alexey I. Froloff
Давай-ка перелезем в девел.
Alexey I. Froloff <raorn@altlinux.ru> wrote:
> * Pavel Wolneykien <manowar@> [090212 14:37]:
> > Имя пользователя явно не запрашивается, потому что передаётся
> > в стек при вызове pam_start(). Зато есть потенциальная возможность
> > задать пользователю дополнительные вопросы во время аутентификации.
> Это если приложение поддерживает эти дополнительные вопросы.
> Если оно в самописном conversation тупо ждёт пароля и все
> остальные вопросы игнорируются, ему прямая дорога в pam_userpass.
> См. напр. xscreensaver, я оторвал pam_userpass после того как
> jwz (в версии 5.02) реализовал эти дополнительные вопросы, в
> результате чего появилась возможность аутентифицироваться через
> сканер отпечатков пальцев или какие токены.
Xlock у меня поддерживает вопросы в том смысле, что он их печатает на
экране. :) Этого не достаточно?
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] Fwd: Re: [Platform50-dev] Proxy authorization
2009-02-12 11:50 ` [devel] Fwd: Re: [Platform50-dev] Proxy authorization Pavel Wolneykien
@ 2009-02-12 12:11 ` Alexey I. Froloff
0 siblings, 0 replies; 6+ messages in thread
From: Alexey I. Froloff @ 2009-02-12 12:11 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 756 bytes --]
* Pavel Wolneykien <manowar@> [090212 14:54]:
> > См. напр. xscreensaver, я оторвал pam_userpass после того как
> > jwz (в версии 5.02) реализовал эти дополнительные вопросы, в
> > результате чего появилась возможность аутентифицироваться через
> > сканер отпечатков пальцев или какие токены.
> Xlock у меня поддерживает вопросы в том смысле, что он их печатает на
> экране. :) Этого не достаточно?
Я в код не смотрел, расскажу про xscreensaver.
Раньше там вызывался диалог, спрашивал пароль и только потом
начинал ходить в pam. Сейчас оно идёт в pam, смотрит вопрос и на
основании этого вопроса рисует диалог. Пароль спрашивается
только в том случае, когда этого требует модуль. Вот собсно и
вся разница.
--
Regards,
Sir Raorn.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] squid authorization
2009-02-12 0:45 ` [devel] squid authorization Dmitry V. Levin
@ 2009-02-12 12:23 ` Pavel Wolneykien
2009-02-12 12:49 ` Pavel Wolneykien
0 siblings, 1 reply; 6+ messages in thread
From: Pavel Wolneykien @ 2009-02-12 12:23 UTC (permalink / raw)
To: ALT Linux Team development discussions; +Cc: Squid Development Team
Dmitry V. Levin <ldv@altlinux.org> wrote:
> Для проверки чужих паролей процесс должен входить сразу в 2 группы,
> shadow и auth.
> Лучше добавить пользователя squid в группу auth, и сделать файлу
> /usr/lib/squid/pam_auth sgid на группу shadow (вместо auth).
Да, так работает. Спасибо! :)
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] squid authorization
2009-02-12 12:23 ` Pavel Wolneykien
@ 2009-02-12 12:49 ` Pavel Wolneykien
2009-02-12 13:06 ` Dmitry V. Levin
0 siblings, 1 reply; 6+ messages in thread
From: Pavel Wolneykien @ 2009-02-12 12:49 UTC (permalink / raw)
To: ALT Linux Team development discussions
Pavel Wolneykien <manowar@altlinux.org> wrote:
>
> Dmitry V. Levin <ldv@altlinux.org> wrote:
>
> > Для проверки чужих паролей процесс должен входить сразу в 2 группы,
> > shadow и auth.
> > Лучше добавить пользователя squid в группу auth, и сделать файлу
> > /usr/lib/squid/pam_auth sgid на группу shadow (вместо auth).
>
> Да, так работает. Спасибо! :)
Работает, да только не совсем. :(
# su - squid
$ /usr/lib/squid/pam_auth
test test
OK
Работает отдельно. А когда вызывается squid-сервером то непременно
возвращает ERR. Я даже пробовал через tee вызывать, чтобы сохранить
вопросы и ответы: имя и пароль верные, а результат почему-то ERR.
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] squid authorization
2009-02-12 12:49 ` Pavel Wolneykien
@ 2009-02-12 13:06 ` Dmitry V. Levin
0 siblings, 0 replies; 6+ messages in thread
From: Dmitry V. Levin @ 2009-02-12 13:06 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 871 bytes --]
On Thu, Feb 12, 2009 at 03:49:50PM +0300, Pavel Wolneykien wrote:
> Pavel Wolneykien <manowar@altlinux.org> wrote:
> > Dmitry V. Levin <ldv@altlinux.org> wrote:
> >
> > > Для проверки чужих паролей процесс должен входить сразу в 2 группы,
> > > shadow и auth.
> > > Лучше добавить пользователя squid в группу auth, и сделать файлу
> > > /usr/lib/squid/pam_auth sgid на группу shadow (вместо auth).
> >
> > Да, так работает. Спасибо! :)
>
> Работает, да только не совсем. :(
>
> # su - squid
> $ /usr/lib/squid/pam_auth
> test test
> OK
>
> Работает отдельно. А когда вызывается squid-сервером то непременно
> возвращает ERR. Я даже пробовал через tee вызывать, чтобы сохранить
> вопросы и ответы: имя и пароль верные, а результат почему-то ERR.
Надо проверить, инициализирует ли squid-сервер supplementary groups?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2009-02-12 13:06 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-02-12 0:45 ` [devel] squid authorization Dmitry V. Levin
2009-02-12 12:23 ` Pavel Wolneykien
2009-02-12 12:49 ` Pavel Wolneykien
2009-02-12 13:06 ` Dmitry V. Levin
2009-02-12 11:50 ` [devel] Fwd: Re: [Platform50-dev] Proxy authorization Pavel Wolneykien
2009-02-12 12:11 ` Alexey I. Froloff
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git