From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3E7AF76F.6040408@symmetron.msk.ru> Date: Fri, 21 Mar 2003 14:28:47 +0300 From: =?KOI8-R?Q?=F7=CC=C1=C4=C9=CD=C9=D2?= User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; ru-RU; rv:1.2.1) Gecko/20021123 X-Accept-Language: ru-ru, en MIME-Version: 1.0 To: sisyphus@altlinux.ru Subject: Re: [sisyphus] Inappropriate ioctl with PAM References: <20030321125225.05602014.grisxa@mail.ru> In-Reply-To: <20030321125225.05602014.grisxa@mail.ru> X-Enigmail-Version: 0.70.0.0 X-Enigmail-Supports: pgp-inline, pgp-mime Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: Grigory Batalov пишет: >Hi! >Я собрал себе mod_auth_pam для apache, хочу сквозную >аутентификацию сделать. Но не работает. >Взято отсюда: http://pam.sourceforge.net/mod_auth_pam/ >плюс патчи из мэйл-листа. > >Сделаны следующие настройки: > ># less /etc/httpd/conf/httpd.conf >--- >User apache >Group apache >... >LoadModule pam_auth_module modules/mod_auth_pam.so >LoadModule auth_module modules/mod_auth.so >... >AddModule mod_auth_pam.c >AddModule mod_auth.c >... > > Options Indexes Includes FollowSymLinks MultiViews > AllowOverride AuthConfig > Order allow,deny > Allow from all > > > > CharsetDisable On > > > >--- > >Т.е. модуль подключен, аутентификация через PAM разрешена >(см. лог ниже). > >$ ls -l /etc/pam.d/httpd >-rw-r--r-- 1 root root 156 Мар 21 12:22 /etc/pam.d/httpd > >$ cat /etc/pam.d/httpd >--- >#%PAM-1.0 >auth required /lib/security/pam_stack.so debug service=system-auth >account required /lib/security/pam_stack.so debug service=system-auth >--- > >Т.е. /etc/pam.d/httpd читаем всеми. > >$ cat /var/www/html/secure/.htaccess >--- >AuthPAM_Enabled on >AuthPAM_FallThrough off >AuthType Basic >AuthName "By Invitation Only" >Require user bga >--- > >Требуется быть 'bga' для прохождения аутентификации. >При обращении к директории http://localhost/secure/ >выдаётся запрос пароля. В логах следующее: > ># cat /etc/httpd/logs/access_log >--- >127.0.0.1 - bga [21/Mar/2003:12:28:00 +0300] "GET /secure/ HTTP/1.0" 401 467 >--- > ># cat /etc/httpd/logs/error_log >--- >[Fri Mar 21 12:27:43 2003] [notice] Apache/1.3.27 (ALT Linux/alt13bga) mod_auth_pam/1.1.2b rus/PL30.16 configured -- resuming normal operations >[Fri Mar 21 12:27:43 2003] [notice] Accept mutex: sysvsem (Default: sysvsem) >[Fri Mar 21 12:28:00 2003] [error] [client 127.0.0.1] (25)Inappropriate ioctl for device: PAM: user 'bga' - not authenticated: Authentication service cannot retrieve authentication info. >--- > ># less /var/log/messages >... >Mar 21 12:27:58 bga pam_tcb[16293]: Credentials for user bga unknown >Mar 21 12:27:58 bga pam_tcb[16285]: httpd: Authentication failed for UNKNOWN USER from (uid=96) >... > >Таким образом, запрос к PAM уходит (uid 96 == apache), а что >дальше - не понятно. Немного поковырявшись, дошёл до вызова >pam_authenticate(..., ...), который возвращает ошибку. > >---------------------------------------------------------- >Вопрос: что за (25)Inappropriate ioctl for device, где его >можно исправить, в каком направлении патчить mod_auth_pam, >чтобы он вписывался в Master 2.2 без напильника ? > > > Если мне не изменяет память, то для нормальной работы через pam требуется ставить минимум GID бит. -- Best regards Vladimir