http digest autentifikace + hesla v DB
Tomas Macek
macek na fortech.cz
Čtvrtek Březen 1 09:36:28 CET 2012
Mám tu webové servery, na které se mi hlásí uživatelé přes klasickou http
autentifikaci.
Kvůli bezpečnosti hesel používám http autentifikaci přes Digest, nemůžu
použít SSL (podrobnosti sem nepatří a raději je vynechám).
Uživatelé se dělí na prominentní menšinu (admini) a většinu (uživatelé).
Aktuální stav je ten, že všichni (admini i uživatelé) mají hesla na
jednotlivých strojích v souborech ("AuthUserFile ...", "require
valid-user").
Běžní uživatelé ale občas odcházejí/přicházejí/zapomínají hesla/mění
hesla. Cíl je mít adminy i nadále v souborech dle stávajícího stavu a
autentifikaci běžných uživatelů provádět proti nějaké formě databáze
kvůli jednotné správě. Vše ale musí fungovat dohromady a chci, aby bylo
možné, že se přihlásí jak admin a autentifikuje se souborem, tak i běžný
uživatel a autentifikuje se proti DB - vše na jednom webu.
Jména a hesla běžných uživatelů mám v PgSQL databázi, nebránil bych se
ale jejich přesunutí do něčeho jiného.
Rozchodil jsem všechno dle požadavků výše použitím mod_auth_pgsql
+ auth přes soubor dohromady - vše funguje, jen ten digest s tím nejede,
funguje jen basic auth. Dle googlu měli ostatní na netu, co se o
mod_auth_pgsql +
digest pokusili, stejný problém.
Koukal jsem i co umí Radius (FreeRadius), ale ten umí jen Basic
autentifikaci, neumí Digest (viz poznámky v jejich ukázce cfg). Kerberos
jestli jsem správně pochopil nelze kombinovat se souborem a tudíž nejspíš
neudělá to, co chci.
Měl by někdo nápad? Řešil někdo někdy něco podobného?
Děkuji
Další informace o konferenci Linux