ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Извиняйте
@ 2004-12-22 22:20 Бердыган Антон
  2004-12-23  4:39 ` Nizamov Shavkat
  0 siblings, 1 reply; 5+ messages in thread
From: Бердыган Антон @ 2004-12-22 22:20 UTC (permalink / raw)
  To: community

Я хочу попросить прощения если кого-то обидел прошлыми претензиями, я
писал не для этого.
Но как я вижу проблем хватает и это не надо отрицать.

В прошлый раз, я так понимаю, меня обвинили в безосновательности
претензий.
Хорошо тогда вот есть такая небольшая история.

В Mdk есть модуль к apache2 - mod_auth_shadow
Очень удобная штука, один раз пользователя в системе завел и эта запись
и на ftp будет и на доступ к apache и т.д.

Да я согласен что это может и не безопасно, но внутри корпоративной сети
для разграничения полномочий вполне годиться !

В Alt Linux 2.4. Master (DVD edition) этого модуля нет.
В нем оказался только apache2_mod_webauth. Я понимаю что это круто, но
для него надо развернуть и настроить сервер kerberos, сделать ключи и
т.д. Оно конечно стоит того но не в той задаче которую надо было решить
мне. 
Я начал поиск альтернатив.
В репозитарии данных модулей тоже не оказалось!
Прикинув и интуитивно подозревая, что без единого файла shadow он
работать может и не будет, я на нем зацикливаться не стал.
И переключился на модуль mod_auth_pam
Честно скачав исходники и установив пакет apache2-devel я собрал данный
модуль. Но радость оказалась преждевременной он не заработал а в логах
появилась надпись следующего вида:
[Wed Dec 15 20:36:59 2004] [error] [client 127.0.0.1] PAM: user 'anton'
- not authenticated: Authentication service cannot retrieve
authentication info.

Ну ладно. Я решил попробовать установить новую версию apache2
Скачав из репозитария apache2-2.0.52-alt2.src.rpm

Установил пакет под пользователем далее
[anton@anton_home SPECS]$ rpmbuild -ba ./apache2.spec
ошибка: неудовлетворенные зависимости сборки:
        libldap-devel-static нужен для apache2-2.0.52-alt2

Такой библиотеки нет в дистрибутиве есть просто devel но не static.
В репозитарии тоже нет :)
В итоге пришлось мне использовать basic auth с отдельным файлом
пользователей и групп.

Но и тут все еще не кончилось.

[root@anton_home anton]# htpasswd2 -c ./passwd anton
New password:
Re-type new password:
htpasswd2: could not determine temp dir

пришлось выдернуть эту утилиту из первого apache - там она оказалась
рабочая :)

А сказать, что пусть обратно катиться на mdk это проще всего - я не
патриот но приятно когда есть хоть что-то отечественное русское.
Поэтому я остаюсь на этом дистрибутиве :) (но сервера пока переносить не
буду)

И давайте будем вместе разбираться с проблемами а не кричать надрывая
глотки :)

И модуль я для пакетной записи нашел ! Но надо ядро пересобирать! Может
кто все таки в нескольких словах расскажет как правильно в алте ядро
собирать ? Или где почитать про это.
kernel-feat-drivers-pktcdvd-2004.09.05-alt3.src.rpm


Надеюсь модератор не вырежет это письмо :) 
А то после той перепалки письма сразу в рассылку не пускают :)




^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Comm] Извиняйте
  2004-12-22 22:20 [Comm] Извиняйте Бердыган Антон
@ 2004-12-23  4:39 ` Nizamov Shavkat
  2004-12-23  5:19   ` Бердыган Антон
                     ` (2 more replies)
  0 siblings, 3 replies; 5+ messages in thread
From: Nizamov Shavkat @ 2004-12-23  4:39 UTC (permalink / raw)
  To: community

> И переключился на модуль mod_auth_pam
> Честно скачав исходники и установив пакет apache2-devel я собрал данный
> модуль. Но радость оказалась преждевременной он не заработал а в логах
> появилась надпись следующего вида:
> [Wed Dec 15 20:36:59 2004] [error] [client 127.0.0.1] PAM: user 'anton'
> - not authenticated: Authentication service cannot retrieve
> authentication info.
>

насколько я помню стиль высказывания ldv - ни один процесс не может
определить правильность пароля пользователя, если только этот процесс не
работает с рутовыми правами. думаю вам просто не хватило суидного бита на
модуль pam.

кстати - аналогичная проблема и со сквид - ну когда же наконец сквидовый
pam_auth будет идти с суидным битом ?




^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Comm] Извиняйте
  2004-12-23  4:39 ` Nizamov Shavkat
@ 2004-12-23  5:19   ` Бердыган Антон
  2004-12-23 10:45   ` [Comm] о правах и аутентификации Michael Shigorin
  2004-12-23 12:06   ` [Comm] read-only access to all shadow files Dmitry V. Levin
  2 siblings, 0 replies; 5+ messages in thread
From: Бердыган Антон @ 2004-12-23  5:19 UTC (permalink / raw)
  To: community

Ладно я попробую включить !

On Чтв, 2004-12-23 at 09:39 +0500, Nizamov Shavkat wrote:
> > И переключился на модуль mod_auth_pam
> > Честно скачав исходники и установив пакет apache2-devel я собрал данный
> > модуль. Но радость оказалась преждевременной он не заработал а в логах
> > появилась надпись следующего вида:
> > [Wed Dec 15 20:36:59 2004] [error] [client 127.0.0.1] PAM: user 'anton'
> > - not authenticated: Authentication service cannot retrieve
> > authentication info.
> >
> 
> насколько я помню стиль высказывания ldv - ни один процесс не может
> определить правильность пароля пользователя, если только этот процесс не
> работает с рутовыми правами. думаю вам просто не хватило суидного бита на
> модуль pam.
> 
> кстати - аналогичная проблема и со сквид - ну когда же наконец сквидовый
> pam_auth будет идти с суидным битом ?
> 
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community



^ permalink raw reply	[flat|nested] 5+ messages in thread

* [Comm] о правах и аутентификации
  2004-12-23  4:39 ` Nizamov Shavkat
  2004-12-23  5:19   ` Бердыган Антон
@ 2004-12-23 10:45   ` Michael Shigorin
  2004-12-23 12:06   ` [Comm] read-only access to all shadow files Dmitry V. Levin
  2 siblings, 0 replies; 5+ messages in thread
From: Michael Shigorin @ 2004-12-23 10:45 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 718 bytes --]

On Thu, Dec 23, 2004 at 09:39:23AM +0500, Nizamov Shavkat wrote:
> насколько я помню стиль высказывания ldv - ни один процесс не
> может определить правильность пароля пользователя, если только
> этот процесс не работает с рутовыми правами.

Это не так, и для того и создана схема TCB.

# ls -ld /etc/tcb/{,apache/{,shadow}}
drwx--x---  50 root   shadow 4096 Sep  2 14:13 /etc/tcb/
drwx--s---   2 apache auth   4096 Jul  9 00:26 /etc/tcb/apache/
-rw-r-----   1 apache auth     21 Jul  9 00:26 /etc/tcb/apache/shadow

$ ls -l /usr/bin/passwd
-rwx--s--x  1 root shadow  5704 Jan 18  2004 /usr/bin/passwd

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Comm] read-only access to all shadow files
  2004-12-23  4:39 ` Nizamov Shavkat
  2004-12-23  5:19   ` Бердыган Антон
  2004-12-23 10:45   ` [Comm] о правах и аутентификации Michael Shigorin
@ 2004-12-23 12:06   ` Dmitry V. Levin
  2 siblings, 0 replies; 5+ messages in thread
From: Dmitry V. Levin @ 2004-12-23 12:06 UTC (permalink / raw)
  To: ALT Linux general discussion list

[-- Attachment #1: Type: text/plain, Size: 955 bytes --]

On Thu, Dec 23, 2004 at 09:39:23AM +0500, Nizamov Shavkat wrote:
> > И переключился на модуль mod_auth_pam
> > Честно скачав исходники и установив пакет apache2-devel я собрал данный
> > модуль. Но радость оказалась преждевременной он не заработал а в логах
> > появилась надпись следующего вида:
> > [Wed Dec 15 20:36:59 2004] [error] [client 127.0.0.1] PAM: user 'anton'
> > - not authenticated: Authentication service cannot retrieve
> > authentication info.
> 
> насколько я помню стиль высказывания ldv - ни один процесс не может
> определить правильность пароля пользователя, если только этот процесс не
> работает с рутовыми правами. думаю вам просто не хватило суидного бита на
> модуль pam.

Вряд ли я мог сказать в точности такое, поскольку в tcb(5) написано:

If a process needs to possess read-only  access  to  all  shadow
files,  it  is  sufficient  to  assign  it  supplementary groups
"shadow" and "auth".


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

end of thread, other threads:[~2004-12-23 12:06 UTC | newest]

Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-12-22 22:20 [Comm] Извиняйте Бердыган Антон
2004-12-23  4:39 ` Nizamov Shavkat
2004-12-23  5:19   ` Бердыган Антон
2004-12-23 10:45   ` [Comm] о правах и аутентификации Michael Shigorin
2004-12-23 12:06   ` [Comm] read-only access to all shadow files Dmitry V. Levin

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git