Overovani uzivatelu proti databazi - pam_sql dotazy
Martin Patka
smartin na mikroservis.cz
Sobota Červenec 27 19:33:12 CEST 2002
Zdravim,
delam ted novy server a chtel jsem uzivatelseke ucty "zvirtualizovat". Na
http://www.kernel.org/pub/linux/libs/pam/modules.html jsem nasel odkaz na
PAM
modul pro spolupraci s PostreSQL - http://devel.duluoz.net/pam_sql/.
Stahnul jsem si "stable" verzi 0.7.2, ale mam s tim nekolik problemu:
1) zrejme je standardne zapnuty nejaky rezim "debug", protoze do logu
secure uklada
protokoly vcetne hesel v citelnem tvaru:
Jul 25 17:08:20 web login: Executing query: select uzivatel from auth where
uzivatel='root' and heslo='citelne_heslo'
Dokumentace k tomu neni zadna, a tak nevim, jak se to da vypnout
2) I kdyz overeni probehne v poradku, nedojde
Takhle vypada log v pripade, ze jmeno, heslo a expire souhlasi a melo
by dojit ke
"vpusteni do systemu":
Jul 25 17:08:30 web login: Connect string: dbname=users user=pamadmin
password=citelne_heslo
Jul 25 17:08:30 web login: Executing query: select uzivatel from auth where
uzivatel='martin' and heslo='citelne_heslo'
Jul 25 17:08:30 web login: Connect string: dbname=users user=pamadmin
password=citelne_heslo
Jul 25 17:08:30 web login: Executing query: select uzivatel from auth where
uzivatel='martin' and platnost>now()
Jul 25 17:08:30 web login: Invalid user name "martin" in main:664. Abort.
pokud nektery udaj v databazi nesouhlasi, tak to skonci s chybou:
Jul 25 17:06:22 web login: Executing query: select uzivatel from auth where
uzivatel='martin' and heslo='citelne_heslo'
Jul 25 17:06:22 web login: Authentication failed for user martin
Takze ten modul pam_sql snad pracuje, ale na konci to stejne selze.....
3) Potreboval bych jeste taky poradit, jak je to se shellem u takovehoto
overovani. Ja bych
potreboval, aby nekterym uzivatelum byl povolen bash, u ostatnich nic (jen
postovni ucet)....
4) a taky mi neni jasne razeni pam-modulu za ssebou. Potreboval bych, aby
zustalo funkcni i overovani proti passswd/shadow (systemove ucty)
Zkousel jsem to do /etc/pam.d/login zaradit ve tvaru "sufficient", ale neni
to asi spravne.
Sice se da dotaz na databazi, ale pak se objevi podruhe vyzva pro zadani
hesla
a overuje se opet proti shadow.....
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth sufficient /lib/security/pam_sql.so dbname=users
dbuser=pamadmin dbpass=heslo table=auth usercol=uzivatel passcol=heslo
expcol=platnost
auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account sufficient /lib/security/pam_sql.so dbname=users
dbuser=pamadmin dbpass=heslo table=auth usercol=uzivatel passcol=heslo
expcol=platnost
account required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_stack.so service=system-auth
session sufficient /lib/security/pam_sql.so dbname=users
dbuser=pamadmin dbpass=heslo table=auth usercol=uzivatel passcol=heslo
expcol=platnost
session required /lib/security/pam_stack.so service=system-auth
session optional /lib/security/pam_console.so
Pouzivate nekdo overovani proti databazi a mohl byste mi s timto poradit ?
Dekuji
-- -------------------------------------------------------------------
Martin Patka network & server administrator
----------------------------------------------------------------------
Mikroservis v.o.s. e-mail: smartin na mikroservis.cz
Nerudova 45 phone work: +420 431 624301
51301, Semily 1
http://www.mikroservis.cz http://linux.mikroservis.cz
----------------------------------------------------------------------
Další informace o konferenci Linux