Re: Verständnisfrage PAM
Jan Lühr <jluehr@gmx.net> wrote:
> ja hallo erstmal,...
> bislang dachte ich: Pam ist dafür da, dass Programme nicht auf /etc/shadow
> zugreifen müssen, sondern eine formale Einheitliche Schnittstelle (auch für
> NIS, LDAP, etc.) bereitzustellen.
Das PAM-System bietet eine einheitliche Schnittstelle zu den jeweiligen
Datenquellen _exklusive_ der nötigen Rechte, um diese Datenquellen auch
nutzen zu können. Dafür muss jedes Programm selbst sorgen.
Und die PAM-Bibliothek ist ja erst einmal nur ein Stück tote Funktionen
ohne eigenes Leben.
Ein Programm benutzt diese Funktionen nur, um mit den _eigenen_ Rechten
auf eine Datei zuzugreifen (oder auf LDAP, oder auf NIS, oder auf ...)
> Nun aber dies:
> "using /etc/shadow with mod_auth_pam
> The problem
> The normal problem with accessing a shadow password file from Apache is
> that that the shadow password file is not
> readable to everyone, so Apache can't read it."
> Also was nun? Wieso das? Ich dachte pam hat sich darum zu kümmern,
> dass man aus der shadow-lesen kann. Notfalls auch suid...
SUID ist hier das Stichwort.
Das will man aber nicht. Daher braucht es dann andere Methoden. Ein
Dämon, der root-Rechte hat und daher /etc/shadow lesen kann z.B. Oder
LDAP. Es gibt auch Server, die den Datenstand aus /etc/passwd und
/etc/shadow auslesen, so daß man dann vom pache via mod_auth_pam und
libpam-ldap darauf zugreifen kann.
S°
--
Letzte Worte einer Hausfrau beim Fensterputzen: Iiiiiiiiii, eine Maus...
Reply to: