Re: modulo autenticazione pam di apache...
Mandi! Davide Puricelli
In chel dí si favelave...
> Dunque, innanzitutto se usi pam_smb non devi aggiungere www-data al
> gruppo shadow, inoltre, cosa più importante, devi modificare
> /etc/pam.d/httpd affinchè usi pam_smb invece di pam_unix.
Non mi sono spiegato assolutamente bene, evidentemente. ;)
Ho immaginato che se si usa un sistema di autenticazione che non deve
andare a leggersi le pass in /etc/shadow (come smb, ldap, ...) non
serve aggiungere www-data al gruppo shadow.
Così non è stato un problema aggiungere a /etc/pam.d/httpd le righe
apposite per far funzionare l'autenticazione via smb, tutti gli altri
servizi già la usano.
Per la cronaca, abilitando il debug si vede chiaramente che
l'autenticazione funziona perfettamente, infatti:
Oct 17 10:55:33 mouse apache: pam_smb: Local UNIX username/password check incorrect.
Oct 17 10:55:33 mouse apache: pam_smb: Configuration Data, Primary MORPHEUS, Backup NEO, Domain SANVITO.
Oct 17 10:55:33 mouse apache: pam_smb: Correct NT username/password pair
(la prima riga la da sempre, anche con gli altri servizi che funzionano
perfettamente).
((e ad ogni modo ad un certo punto mi ero incavolato e avevo messo
tutto a pam_permit.so, il modulo pam che risponde sempre di si ;-))
Il problema è che l'autenticazione non funziona, o meglio una
configurazione del tipo:
<Directory /usr/local/share/koha/htdocs>
AuthType Basic
AuthName "Sistema di gestione della Libreria"
AuthPAM_Enabled on
AuthPAM_FallThrough off
#require group users
#require user gaio gabri walter
#require valid-user
</Directory>
non funziona (401 Authorization Required) a meno che non tenga
commentate le righe require, ma a quel punto non mi chiede manco
username e pass. ;)
E nota che questo qui sopra è praticamente l'esempio che si trova nella
documentazione, in particolare su
/usr/share/doc/libapache-mod-auth-pam/configure.html
> Spero di esserti stato utile.
...spero di essre stato chiaro. ;)
Ultimo minuto: ho riprovato con il pam_permit (forse avevo troppa
fretta) e ho scoperto che effettivamentre è un problema di pam, e una
configurazione del genere:
auth sufficient pam_smb_auth.so
auth required pam_unix.so use_first_pass
# Anche qui il problema riscontrato in postgres... mah...
#
#account required pam_unix.so
account required pam_permit.so
che ripresenta un problema che avevo già riscontrato in postgres, e che
avevo addebitato a postgres stesso.
Faccio notare che gli altri servizi (ssh, login, ...) hanno
correttamente account impostato a pam_unix.so, e funzionano
perfettamente.
Boh... qualcuno mi sa dire qualcosa?!
--
Marco ``Gaio'' Gaiarin | Leandes di Pâs (http://www.fvg.peacelink.it)
P.zza S. Tommaso, 20 | Membro PLUTO (http://www.pluto.linux.it)
Cimpello di Fiume Veneto | Lilliput BBS (modem/fax +39-0434-56-1305)
33080 Pordenone (Italia) | 2:333/1016 61:3917/1 1907:393/104 91:13/1
Tel. +39-0434-56-1305 | http://www.linux.it/~gaio/ gaio@linux.it
Reply to: