* [Comm] Извиняйте
@ 2004-12-22 22:20 Бердыган Антон
2004-12-23 4:39 ` Nizamov Shavkat
0 siblings, 1 reply; 5+ messages in thread
From: Бердыган Антон @ 2004-12-22 22:20 UTC (permalink / raw)
To: community
Я хочу попросить прощения если кого-то обидел прошлыми претензиями, я
писал не для этого.
Но как я вижу проблем хватает и это не надо отрицать.
В прошлый раз, я так понимаю, меня обвинили в безосновательности
претензий.
Хорошо тогда вот есть такая небольшая история.
В Mdk есть модуль к apache2 - mod_auth_shadow
Очень удобная штука, один раз пользователя в системе завел и эта запись
и на ftp будет и на доступ к apache и т.д.
Да я согласен что это может и не безопасно, но внутри корпоративной сети
для разграничения полномочий вполне годиться !
В Alt Linux 2.4. Master (DVD edition) этого модуля нет.
В нем оказался только apache2_mod_webauth. Я понимаю что это круто, но
для него надо развернуть и настроить сервер kerberos, сделать ключи и
т.д. Оно конечно стоит того но не в той задаче которую надо было решить
мне.
Я начал поиск альтернатив.
В репозитарии данных модулей тоже не оказалось!
Прикинув и интуитивно подозревая, что без единого файла shadow он
работать может и не будет, я на нем зацикливаться не стал.
И переключился на модуль mod_auth_pam
Честно скачав исходники и установив пакет apache2-devel я собрал данный
модуль. Но радость оказалась преждевременной он не заработал а в логах
появилась надпись следующего вида:
[Wed Dec 15 20:36:59 2004] [error] [client 127.0.0.1] PAM: user 'anton'
- not authenticated: Authentication service cannot retrieve
authentication info.
Ну ладно. Я решил попробовать установить новую версию apache2
Скачав из репозитария apache2-2.0.52-alt2.src.rpm
Установил пакет под пользователем далее
[anton@anton_home SPECS]$ rpmbuild -ba ./apache2.spec
ошибка: неудовлетворенные зависимости сборки:
libldap-devel-static нужен для apache2-2.0.52-alt2
Такой библиотеки нет в дистрибутиве есть просто devel но не static.
В репозитарии тоже нет :)
В итоге пришлось мне использовать basic auth с отдельным файлом
пользователей и групп.
Но и тут все еще не кончилось.
[root@anton_home anton]# htpasswd2 -c ./passwd anton
New password:
Re-type new password:
htpasswd2: could not determine temp dir
пришлось выдернуть эту утилиту из первого apache - там она оказалась
рабочая :)
А сказать, что пусть обратно катиться на mdk это проще всего - я не
патриот но приятно когда есть хоть что-то отечественное русское.
Поэтому я остаюсь на этом дистрибутиве :) (но сервера пока переносить не
буду)
И давайте будем вместе разбираться с проблемами а не кричать надрывая
глотки :)
И модуль я для пакетной записи нашел ! Но надо ядро пересобирать! Может
кто все таки в нескольких словах расскажет как правильно в алте ядро
собирать ? Или где почитать про это.
kernel-feat-drivers-pktcdvd-2004.09.05-alt3.src.rpm
Надеюсь модератор не вырежет это письмо :)
А то после той перепалки письма сразу в рассылку не пускают :)
^ permalink raw reply [flat|nested] 5+ messages in thread* Re: [Comm] Извиняйте
2004-12-22 22:20 [Comm] Извиняйте Бердыган Антон
@ 2004-12-23 4:39 ` Nizamov Shavkat
2004-12-23 5:19 ` Бердыган Антон
` (2 more replies)
0 siblings, 3 replies; 5+ messages in thread
From: Nizamov Shavkat @ 2004-12-23 4:39 UTC (permalink / raw)
To: community
> И переключился на модуль mod_auth_pam
> Честно скачав исходники и установив пакет apache2-devel я собрал данный
> модуль. Но радость оказалась преждевременной он не заработал а в логах
> появилась надпись следующего вида:
> [Wed Dec 15 20:36:59 2004] [error] [client 127.0.0.1] PAM: user 'anton'
> - not authenticated: Authentication service cannot retrieve
> authentication info.
>
насколько я помню стиль высказывания ldv - ни один процесс не может
определить правильность пароля пользователя, если только этот процесс не
работает с рутовыми правами. думаю вам просто не хватило суидного бита на
модуль pam.
кстати - аналогичная проблема и со сквид - ну когда же наконец сквидовый
pam_auth будет идти с суидным битом ?
^ permalink raw reply [flat|nested] 5+ messages in thread* Re: [Comm] Извиняйте
2004-12-23 4:39 ` Nizamov Shavkat
@ 2004-12-23 5:19 ` Бердыган Антон
2004-12-23 10:45 ` [Comm] о правах и аутентификации Michael Shigorin
2004-12-23 12:06 ` [Comm] read-only access to all shadow files Dmitry V. Levin
2 siblings, 0 replies; 5+ messages in thread
From: Бердыган Антон @ 2004-12-23 5:19 UTC (permalink / raw)
To: community
Ладно я попробую включить !
On Чтв, 2004-12-23 at 09:39 +0500, Nizamov Shavkat wrote:
> > И переключился на модуль mod_auth_pam
> > Честно скачав исходники и установив пакет apache2-devel я собрал данный
> > модуль. Но радость оказалась преждевременной он не заработал а в логах
> > появилась надпись следующего вида:
> > [Wed Dec 15 20:36:59 2004] [error] [client 127.0.0.1] PAM: user 'anton'
> > - not authenticated: Authentication service cannot retrieve
> > authentication info.
> >
>
> насколько я помню стиль высказывания ldv - ни один процесс не может
> определить правильность пароля пользователя, если только этот процесс не
> работает с рутовыми правами. думаю вам просто не хватило суидного бита на
> модуль pam.
>
> кстати - аналогичная проблема и со сквид - ну когда же наконец сквидовый
> pam_auth будет идти с суидным битом ?
>
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community
^ permalink raw reply [flat|nested] 5+ messages in thread
* [Comm] о правах и аутентификации
2004-12-23 4:39 ` Nizamov Shavkat
2004-12-23 5:19 ` Бердыган Антон
@ 2004-12-23 10:45 ` Michael Shigorin
2004-12-23 12:06 ` [Comm] read-only access to all shadow files Dmitry V. Levin
2 siblings, 0 replies; 5+ messages in thread
From: Michael Shigorin @ 2004-12-23 10:45 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 718 bytes --]
On Thu, Dec 23, 2004 at 09:39:23AM +0500, Nizamov Shavkat wrote:
> насколько я помню стиль высказывания ldv - ни один процесс не
> может определить правильность пароля пользователя, если только
> этот процесс не работает с рутовыми правами.
Это не так, и для того и создана схема TCB.
# ls -ld /etc/tcb/{,apache/{,shadow}}
drwx--x--- 50 root shadow 4096 Sep 2 14:13 /etc/tcb/
drwx--s--- 2 apache auth 4096 Jul 9 00:26 /etc/tcb/apache/
-rw-r----- 1 apache auth 21 Jul 9 00:26 /etc/tcb/apache/shadow
$ ls -l /usr/bin/passwd
-rwx--s--x 1 root shadow 5704 Jan 18 2004 /usr/bin/passwd
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread* Re: [Comm] read-only access to all shadow files
2004-12-23 4:39 ` Nizamov Shavkat
2004-12-23 5:19 ` Бердыган Антон
2004-12-23 10:45 ` [Comm] о правах и аутентификации Michael Shigorin
@ 2004-12-23 12:06 ` Dmitry V. Levin
2 siblings, 0 replies; 5+ messages in thread
From: Dmitry V. Levin @ 2004-12-23 12:06 UTC (permalink / raw)
To: ALT Linux general discussion list
[-- Attachment #1: Type: text/plain, Size: 955 bytes --]
On Thu, Dec 23, 2004 at 09:39:23AM +0500, Nizamov Shavkat wrote:
> > И переключился на модуль mod_auth_pam
> > Честно скачав исходники и установив пакет apache2-devel я собрал данный
> > модуль. Но радость оказалась преждевременной он не заработал а в логах
> > появилась надпись следующего вида:
> > [Wed Dec 15 20:36:59 2004] [error] [client 127.0.0.1] PAM: user 'anton'
> > - not authenticated: Authentication service cannot retrieve
> > authentication info.
>
> насколько я помню стиль высказывания ldv - ни один процесс не может
> определить правильность пароля пользователя, если только этот процесс не
> работает с рутовыми правами. думаю вам просто не хватило суидного бита на
> модуль pam.
Вряд ли я мог сказать в точности такое, поскольку в tcb(5) написано:
If a process needs to possess read-only access to all shadow
files, it is sufficient to assign it supplementary groups
"shadow" and "auth".
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2004-12-23 12:06 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-12-22 22:20 [Comm] Извиняйте Бердыган Антон
2004-12-23 4:39 ` Nizamov Shavkat
2004-12-23 5:19 ` Бердыган Антон
2004-12-23 10:45 ` [Comm] о правах и аутентификации Michael Shigorin
2004-12-23 12:06 ` [Comm] read-only access to all shadow files Dmitry V. Levin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git