PAM modul pro rozliseni dle IP-adres
Michal Dobes
dobes na tesnet.cz
Středa Březen 20 11:52:38 CET 2002
spatka.lnx na luzanky.cz wrote:
> Resim pravdepodobne trivialni problem s PAM. Potreboval bych nejaky modul,
> ktery by omezil prava podle ip-adres stroje, ze ktereho se uzivatel pripojuje
> ke sluzbe. Neco podobneho jako "pam_listfile item=user" pro prihlasovaci jmeno.
> Ipchains nebo (x)inetd nemohu pouzit, jelikoz mi jde o to, aby se nekteri mohli
> pripojit odnekud a nekteri jini od nekud jinud.
Problem je trivialni a ma trivialni reseni: nejde to.
PAM subsystem neumi poskytnout IP adresu. Umi vratit jenon token HOST,
v tom je jmeno pocitace prohnane pres reverz DNS, pokud neni, tak vraci
IP adresu a to jde jednoduse zfalsovat. Proto ani nenajdete modul,
co by to umel. No, existuje modul, co to umi rozhazovat podle
te polozky host a jejim zaklade spustit modul jiny, ale s tim,
ze to jde oblbnout pres ten reverz.
Na jmeno modulu si ted nevzpomenu (pam_if?), ale jeho autor je tu
v konfere, tak se treba ozve. :-)
Majkl
Další informace o konferenci Linux