Overovani uzivatelu proti databazi - pam_sql dotazy

Martin Patka smartin na mikroservis.cz
Sobota Červenec 27 19:33:12 CEST 2002


Zdravim,

delam ted novy server a chtel jsem uzivatelseke ucty "zvirtualizovat". Na
http://www.kernel.org/pub/linux/libs/pam/modules.html jsem nasel odkaz na
PAM
modul pro spolupraci s PostreSQL - http://devel.duluoz.net/pam_sql/.

Stahnul jsem si "stable" verzi 0.7.2, ale mam s tim nekolik problemu:

1)   zrejme je standardne zapnuty nejaky rezim "debug", protoze do logu
secure uklada
      protokoly vcetne hesel v citelnem tvaru:

Jul 25 17:08:20 web login: Executing query: select uzivatel from auth where
uzivatel='root' and heslo='citelne_heslo'

Dokumentace k tomu neni zadna, a tak nevim, jak se to da vypnout


2)  I kdyz overeni probehne v poradku, nedojde
     Takhle vypada log v pripade, ze jmeno, heslo a expire souhlasi a melo
by dojit ke
     "vpusteni do systemu":

Jul 25 17:08:30 web login: Connect string: dbname=users user=pamadmin
password=citelne_heslo
Jul 25 17:08:30 web login: Executing query: select uzivatel from auth where
uzivatel='martin' and heslo='citelne_heslo'
Jul 25 17:08:30 web login: Connect string: dbname=users user=pamadmin
password=citelne_heslo
Jul 25 17:08:30 web login: Executing query: select uzivatel from auth where
uzivatel='martin' and platnost>now()
Jul 25 17:08:30 web login: Invalid user name "martin" in main:664. Abort.

pokud nektery udaj v databazi nesouhlasi, tak to skonci s chybou:

Jul 25 17:06:22 web login: Executing query: select uzivatel from auth where
uzivatel='martin' and heslo='citelne_heslo'
Jul 25 17:06:22 web login: Authentication failed for user martin

Takze ten modul pam_sql snad pracuje, ale na konci to stejne selze.....


3)  Potreboval bych jeste taky poradit, jak je to se shellem u takovehoto
overovani. Ja bych
potreboval, aby nekterym uzivatelum byl povolen bash, u ostatnich nic (jen
postovni ucet)....


4)  a taky mi neni jasne razeni pam-modulu za ssebou. Potreboval bych, aby
zustalo funkcni i overovani proti passswd/shadow (systemove ucty)

Zkousel jsem to do /etc/pam.d/login zaradit ve tvaru "sufficient", ale neni
to asi spravne.
Sice se da dotaz na databazi, ale pak se objevi podruhe vyzva pro zadani
hesla
a overuje se opet proti shadow.....

#%PAM-1.0
auth       required     /lib/security/pam_securetty.so
auth       sufficient   /lib/security/pam_sql.so dbname=users
dbuser=pamadmin dbpass=heslo table=auth usercol=uzivatel passcol=heslo
expcol=platnost
auth       required     /lib/security/pam_stack.so service=system-auth
auth       required     /lib/security/pam_nologin.so
account    sufficient   /lib/security/pam_sql.so dbname=users
dbuser=pamadmin dbpass=heslo table=auth usercol=uzivatel passcol=heslo
expcol=platnost
account    required     /lib/security/pam_stack.so service=system-auth
password   required     /lib/security/pam_stack.so service=system-auth
session    sufficient   /lib/security/pam_sql.so dbname=users
dbuser=pamadmin dbpass=heslo table=auth usercol=uzivatel passcol=heslo
expcol=platnost
session    required     /lib/security/pam_stack.so service=system-auth
session    optional     /lib/security/pam_console.so



Pouzivate nekdo overovani proti databazi a mohl byste mi s timto poradit ?

Dekuji

-- -------------------------------------------------------------------
Martin Patka                      network & server administrator
----------------------------------------------------------------------
Mikroservis v.o.s.                e-mail:       smartin na mikroservis.cz
Nerudova 45                       phone work:   +420 431 624301
51301, Semily 1
http://www.mikroservis.cz         http://linux.mikroservis.cz
----------------------------------------------------------------------





Další informace o konferenci Linux