PAM modul pro rozliseni dle IP-adres

Michal Dobes dobes na tesnet.cz
Středa Březen 20 11:52:38 CET 2002


spatka.lnx na luzanky.cz wrote:
> Resim pravdepodobne trivialni problem s PAM. Potreboval bych nejaky modul,
> ktery by omezil prava podle ip-adres stroje, ze ktereho se uzivatel pripojuje
> ke sluzbe. Neco podobneho jako "pam_listfile item=user" pro prihlasovaci jmeno.
> Ipchains nebo (x)inetd nemohu pouzit, jelikoz mi jde o to, aby se nekteri mohli
> pripojit odnekud a nekteri jini od nekud jinud.

Problem je trivialni a ma trivialni reseni: nejde to.
PAM subsystem neumi poskytnout IP adresu. Umi vratit jenon token HOST,
v tom je jmeno pocitace prohnane pres reverz DNS, pokud neni, tak vraci
IP adresu a to jde jednoduse zfalsovat. Proto ani nenajdete modul,
co by to umel. No, existuje modul, co to umi rozhazovat podle
te polozky host a jejim zaklade spustit modul jiny, ale s tim,
ze to jde oblbnout pres ten reverz. 
Na jmeno modulu si ted nevzpomenu (pam_if?), ale jeho autor je tu 
v konfere, tak se treba ozve. :-)

	Majkl


Další informace o konferenci Linux