PAM modul a jine UID

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Čtvrtek Srpen 26 23:33:07 CEST 2004


On Thu, 26 Aug 2004, Bujna Igor wrote:

> Jsem asi hodne linej si ohnout "nss_*".Proto ma idea byla, ze v
> systemu bude zaveden uzivatel "mdb:x:100:100::/home/mdb:".Pri
> prihlaseni do systemu se pro root-a pouzije standartni prihlaseni via
> "pam_pwdb.so".Ostatni uzivatele se budou overovat pres "pam_mdb.so" a
> jestli by dany uzivatel zadal spravne heslo tak by se do systemu
> nalogoval jako uzivatel "mdb".Jenze nevim, jak toto mam provest.
> Presneji spise, kde mam zadat neco jako "setuid(100)".Nebo jestli
> vubec je toto mozne.

Vztah mezi beznymi unixovymi opravnenimi a uzivatelskymi jmeny
je mimo zorne pole PAMu. Neco se da nastavovat v pam_sm_open_session(),
ale zrovna uid mezi to nepatri. Tedy mozna by to tak fungovalo, ale
program pouzivajici PAM by se to stejne pokousel udelat sam a byl by
nejspis zmateny z toho, ze mu to nejde.

Na tohle je opravdu nejvhodnejsi pouzit NSS. Nebo pokud jde o to, aby
se uzivatele fakticky prihlasovali vsichni na ucet mdb, ale kazdy svym
vlastnim heslem, tak lze uvazovat o tom, ze jako uzivatelske jmeno
zadaji mdb a "pam_mdb.so" si vyzada jeste jedno jmeno (rozlisujici
konkretniho "poduzivatele") a heslo.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."



Další informace o konferenci Linux