R: apache + pam autentication

Un problema che può capìtare aggiungendo pam ad un servizio è che il
servizio, qualora non giri come root, non riesca a leggere il file
/etc/shadow (naturalmente è pam, richiamato dal servizio che non riesce a
leggerlo).
Non ho elementi per affermare che sia questo il problema da te riscontrato,
ma nella mia breve esperienza con pam questo è stato il problema più
frequente, quindi non fa male farlo presente.
Una soluzione inelegante (ed altro) può essere quella di aggiungere in
qualche modo diritti di lettura a shadow per l'utente con cui gira il
servizio; un'altra è quella di utilizzare altri metodi di autenticazione;
un'altra ancora  è quella di utilizzare un demone che gira come root e che
controlla l'autenticazione.

Altro possibile problema: se ben ricordo pam_unix si ostina a confrontare la
password immessa solo con l'utente effettivo con cui gira (nonostante abbia
tutte le possibilità di fare altrimenti, in quanto se ben ricordo utilizza
un helper setuid root, o qualcosa di equivalente); guardando i sorgenti ho
visto che all'helper di pam_unix non viene nemmeno passato il nome utente,
quindi lui lo desume dall'utente con cui gira (suppongo nel tuo caso apache
o qualcosa del genere) e lo confronta con la password che è stata immessa.
Non capendo il perchè di tutto ciò (e se qualcuno me lo spiegasse sarebbe il
benvenuto) avevo modificato una versione di pam_unix per fare in modo che
andasse a confrontare la password E il nome utente immessi nel tentativo di
effettuare l'autenticazione, come dovrebbe essere. Se ti serve potrei darti
il tutto, almeno come esempio. Attenzione xò: NON sono un programmatore, ho
solo qualche ricordo di C dall'università, quindi il codice andrebbe preso
SOLO come esempio.

Spero che serva

Luigi

> -----Messaggio originale-----
> Da: fallucch@csr.unibo.it [mailto:fallucch@csr.unibo.it]
> Inviato: giovedì 23 gennaio 2003 15.29
> A: ml@sikurezza.org
> Oggetto: apache + pam autentication
>
>
>
>
> Ciao a tutti,
>
> avrei bisogno di dare accesso a una sezione web solo agli utenti che hanno
> accesso alla macchina,
> per fare questo avevo pensato di utilizzare il module mod_auth_pam di
> apache. Dopo aver seguito tutte le
> istruzioni per l'istallazione e configurazione, ma
> l'autenticazione fallisce
> e nei log trovo:
>
> Log error.log
> [error] access to / failed for 127.0.0.1, reason: User not known to the
> underlying authentication module
>
> Log auth.log
> PAM_unix[767]: authentication failure; (uid=33) -> root for httpd service
>
> Sezione httpd.conf
> LoadModule pam_auth_module /usr/lib/apache/1.3/mod_auth_pam.so
>
> <Directory /var/webmail-ssl/>
> Options  Includes FollowSymLinks MultiViews
> AuthType Basic
> AuthName "secure area"
> require users all
> require group users
> Order allow,deny
> Allow from all
> </Directory>
>
> #%PAM-1.0
> auth       required     pam_unix.so
> account    required     pam_unix.so
>
>
> qualcuno mi può aiutare?
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List