* Re: [devel] squid authorization @ 2009-02-12 0:45 ` Dmitry V. Levin 2009-02-12 12:23 ` Pavel Wolneykien 1 sibling, 1 reply; 6+ messages in thread From: Dmitry V. Levin @ 2009-02-12 0:45 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 496 bytes --] On Wed, Feb 11, 2009 at 05:00:53PM +0300, Pavel Wolneykien wrote: > Мне удалось настроить авторизацию через PAM следующим образом: > > $ sudo ls -l /usr/lib/squid/pam_auth > -rwx--s--x 1 root auth 13756 Nov 11 03:21 /usr/lib/squid/pam_auth Для проверки чужих паролей процесс должен входить сразу в 2 группы, shadow и auth. Лучше добавить пользователя squid в группу auth, и сделать файлу /usr/lib/squid/pam_auth sgid на группу shadow (вместо auth). См. tcb(5). -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] squid authorization 2009-02-12 0:45 ` [devel] squid authorization Dmitry V. Levin @ 2009-02-12 12:23 ` Pavel Wolneykien 2009-02-12 12:49 ` Pavel Wolneykien 0 siblings, 1 reply; 6+ messages in thread From: Pavel Wolneykien @ 2009-02-12 12:23 UTC (permalink / raw) To: ALT Linux Team development discussions; +Cc: Squid Development Team Dmitry V. Levin <ldv@altlinux.org> wrote: > Для проверки чужих паролей процесс должен входить сразу в 2 группы, > shadow и auth. > Лучше добавить пользователя squid в группу auth, и сделать файлу > /usr/lib/squid/pam_auth sgid на группу shadow (вместо auth). Да, так работает. Спасибо! :) ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] squid authorization 2009-02-12 12:23 ` Pavel Wolneykien @ 2009-02-12 12:49 ` Pavel Wolneykien 2009-02-12 13:06 ` Dmitry V. Levin 0 siblings, 1 reply; 6+ messages in thread From: Pavel Wolneykien @ 2009-02-12 12:49 UTC (permalink / raw) To: ALT Linux Team development discussions Pavel Wolneykien <manowar@altlinux.org> wrote: > > Dmitry V. Levin <ldv@altlinux.org> wrote: > > > Для проверки чужих паролей процесс должен входить сразу в 2 группы, > > shadow и auth. > > Лучше добавить пользователя squid в группу auth, и сделать файлу > > /usr/lib/squid/pam_auth sgid на группу shadow (вместо auth). > > Да, так работает. Спасибо! :) Работает, да только не совсем. :( # su - squid $ /usr/lib/squid/pam_auth test test OK Работает отдельно. А когда вызывается squid-сервером то непременно возвращает ERR. Я даже пробовал через tee вызывать, чтобы сохранить вопросы и ответы: имя и пароль верные, а результат почему-то ERR. ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] squid authorization 2009-02-12 12:49 ` Pavel Wolneykien @ 2009-02-12 13:06 ` Dmitry V. Levin 0 siblings, 0 replies; 6+ messages in thread From: Dmitry V. Levin @ 2009-02-12 13:06 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 871 bytes --] On Thu, Feb 12, 2009 at 03:49:50PM +0300, Pavel Wolneykien wrote: > Pavel Wolneykien <manowar@altlinux.org> wrote: > > Dmitry V. Levin <ldv@altlinux.org> wrote: > > > > > Для проверки чужих паролей процесс должен входить сразу в 2 группы, > > > shadow и auth. > > > Лучше добавить пользователя squid в группу auth, и сделать файлу > > > /usr/lib/squid/pam_auth sgid на группу shadow (вместо auth). > > > > Да, так работает. Спасибо! :) > > Работает, да только не совсем. :( > > # su - squid > $ /usr/lib/squid/pam_auth > test test > OK > > Работает отдельно. А когда вызывается squid-сервером то непременно > возвращает ERR. Я даже пробовал через tee вызывать, чтобы сохранить > вопросы и ответы: имя и пароль верные, а результат почему-то ERR. Надо проверить, инициализирует ли squid-сервер supplementary groups? -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 6+ messages in thread
[parent not found: <20090211142455.GA14936@altlinux.org>]
[parent not found: <20090211231036.7530@dinkum-thinkum.spb.altlinux.org>]
[parent not found: <20090211214309.GB13457@wo.int.altlinux.org>]
[parent not found: <20090212143643.17075@dinkum-thinkum.spb.altlinux.org>]
[parent not found: <20090212114434.GD7708@altlinux.org>]
* [devel] Fwd: Re: [Platform50-dev] Proxy authorization @ 2009-02-12 11:50 ` Pavel Wolneykien 2009-02-12 12:11 ` Alexey I. Froloff 0 siblings, 1 reply; 6+ messages in thread From: Pavel Wolneykien @ 2009-02-12 11:50 UTC (permalink / raw) To: devel; +Cc: Alexey I. Froloff Давай-ка перелезем в девел. Alexey I. Froloff <raorn@altlinux.ru> wrote: > * Pavel Wolneykien <manowar@> [090212 14:37]: > > Имя пользователя явно не запрашивается, потому что передаётся > > в стек при вызове pam_start(). Зато есть потенциальная возможность > > задать пользователю дополнительные вопросы во время аутентификации. > Это если приложение поддерживает эти дополнительные вопросы. > Если оно в самописном conversation тупо ждёт пароля и все > остальные вопросы игнорируются, ему прямая дорога в pam_userpass. > См. напр. xscreensaver, я оторвал pam_userpass после того как > jwz (в версии 5.02) реализовал эти дополнительные вопросы, в > результате чего появилась возможность аутентифицироваться через > сканер отпечатков пальцев или какие токены. Xlock у меня поддерживает вопросы в том смысле, что он их печатает на экране. :) Этого не достаточно? ^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [devel] Fwd: Re: [Platform50-dev] Proxy authorization 2009-02-12 11:50 ` [devel] Fwd: Re: [Platform50-dev] Proxy authorization Pavel Wolneykien @ 2009-02-12 12:11 ` Alexey I. Froloff 0 siblings, 0 replies; 6+ messages in thread From: Alexey I. Froloff @ 2009-02-12 12:11 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 756 bytes --] * Pavel Wolneykien <manowar@> [090212 14:54]: > > См. напр. xscreensaver, я оторвал pam_userpass после того как > > jwz (в версии 5.02) реализовал эти дополнительные вопросы, в > > результате чего появилась возможность аутентифицироваться через > > сканер отпечатков пальцев или какие токены. > Xlock у меня поддерживает вопросы в том смысле, что он их печатает на > экране. :) Этого не достаточно? Я в код не смотрел, расскажу про xscreensaver. Раньше там вызывался диалог, спрашивал пароль и только потом начинал ходить в pam. Сейчас оно идёт в pam, смотрит вопрос и на основании этого вопроса рисует диалог. Пароль спрашивается только в том случае, когда этого требует модуль. Вот собсно и вся разница. -- Regards, Sir Raorn. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2009-02-12 13:06 UTC | newest] Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2009-02-12 0:45 ` [devel] squid authorization Dmitry V. Levin 2009-02-12 12:23 ` Pavel Wolneykien 2009-02-12 12:49 ` Pavel Wolneykien 2009-02-12 13:06 ` Dmitry V. Levin 2009-02-12 11:50 ` [devel] Fwd: Re: [Platform50-dev] Proxy authorization Pavel Wolneykien 2009-02-12 12:11 ` Alexey I. Froloff
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git