[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: modulo autenticazione pam di apache...

Mandi! Davide Puricelli
  In chel dí si favelave...

> Dunque, innanzitutto se usi pam_smb non devi aggiungere www-data al
> gruppo shadow, inoltre, cosa più importante, devi modificare
> /etc/pam.d/httpd affinchè usi pam_smb invece di pam_unix.

Non mi sono spiegato assolutamente bene, evidentemente. ;)

Ho immaginato che se si usa un sistema di autenticazione che non deve
andare a leggersi le pass in /etc/shadow (come smb, ldap, ...) non
serve aggiungere www-data al gruppo shadow.

Così non è stato un problema aggiungere a /etc/pam.d/httpd le righe
apposite per far funzionare l'autenticazione via smb, tutti gli altri
servizi già la usano.

Per la cronaca, abilitando il debug si vede chiaramente che
l'autenticazione funziona perfettamente, infatti:

Oct 17 10:55:33 mouse apache: pam_smb: Local UNIX username/password check incorrect.
Oct 17 10:55:33 mouse apache: pam_smb: Configuration Data, Primary MORPHEUS, Backup NEO, Domain SANVITO.
Oct 17 10:55:33 mouse apache: pam_smb: Correct NT username/password pair

(la prima riga la da sempre, anche con gli altri servizi che funzionano
perfettamente).
((e ad ogni modo ad un certo punto mi ero incavolato e avevo messo
tutto a pam_permit.so, il modulo pam che risponde sempre di si ;-))


Il problema è che l'autenticazione non funziona, o meglio una
configurazione del tipo:

	<Directory /usr/local/share/koha/htdocs>
	   AuthType Basic
	   AuthName "Sistema di gestione della Libreria"
	   AuthPAM_Enabled on
	   AuthPAM_FallThrough off
	   #require group users
	   #require user gaio gabri walter
	   #require valid-user
	</Directory>  

non funziona (401 Authorization Required) a meno che non tenga
commentate le righe require, ma a quel punto non mi chiede manco
username e pass. ;)

E nota che questo qui sopra è praticamente l'esempio che si trova nella
documentazione, in particolare su
	/usr/share/doc/libapache-mod-auth-pam/configure.html


> Spero di esserti stato utile.

...spero di essre stato chiaro. ;)


Ultimo minuto: ho riprovato con il pam_permit (forse avevo troppa
fretta) e ho scoperto che effettivamentre è un problema di pam, e una
configurazione del genere:

 auth	sufficient	pam_smb_auth.so
 auth	required	pam_unix.so use_first_pass

 # Anche qui il problema riscontrato in postgres... mah...
 #
 #account	required	pam_unix.so
 account required	pam_permit.so

che ripresenta un problema che avevo già riscontrato in postgres, e che
avevo addebitato a postgres stesso.
Faccio notare che gli altri servizi (ssh, login, ...) hanno
correttamente account impostato a pam_unix.so, e funzionano
perfettamente.

Boh... qualcuno mi sa dire qualcosa?!

-- 
Marco ``Gaio'' Gaiarin	 | Leandes di Pâs     (http://www.fvg.peacelink.it)
P.zza S. Tommaso, 20	 | Membro PLUTO		(http://www.pluto.linux.it)
Cimpello di Fiume Veneto | Lilliput BBS        (modem/fax +39-0434-56-1305)
33080 Pordenone (Italia) |  2:333/1016   61:3917/1   1907:393/104   91:13/1
Tel.   +39-0434-56-1305  | http://www.linux.it/~gaio/         gaio@linux.it
Reply to: