[castle] IBM DB2 и Castle
Ivan Synytsyn
ids на krw.ru
Ср Мар 20 11:32:10 MSK 2002
Привет Всем!
Хочу поделится опытом наступания на грабли при установке и настройке IBM
DB2 v7.x в Castle. Надеюсь это комунить пригодится. Я пропущу пробелемы
связаные с процедурой инсталяции и создания баз, поскольку они все
решаются прописыванием соответствующих прав в rsbac и вообщем то не
являются сложными :) Начну сразу с самого интересного, DB2 не могла
аутенифицировать ни одного пользователя в системе. Методом долгих
поисков обнаружилась что за атенификацию пользователей отвечает
(instance_home)/sqllib/security/db2ckpw, который и не мог мог этого
сделать. После долго исследования выяснилось что эта хреновина
аутенфицирует пользователей не через pam а использует crypt (который по
умолчанию ниче кроме DES не умеет делать) на передаваемый ей пароль и
сверяет с содержимым /etc/shadow. Естественно ей не удается провести
аутенификацию поскольку для криптования паролей в Castle используется
blowfish. Вообщем для решения этой проблемы пришлось применить следующий
"хак": 1) создать pam-service /etc/pam.d/db2passd такого содержания
#%PAM-1.0
auth required /lib/security/pam_stack.so service=db2system-auth
account required /lib/security/pam_stack.so service=db2system-auth
password required /lib/security/pam_stack.so service=db2system-auth
и создать pam-service /etc/pam.d/db2system-auth который полностью
соответcтвует /etc/pam.d/system-auth, за исключением слова blowfish
(которое оттуда было стерто). Далее брались исходники passwd и в них
заменялось строки содержащие открытие сервиса passwd на открытие сервиса
db2passd, все это компилялось и в итоге получался бинарник despasswd,
который теперь позволяет в /etc/shadow иметь DES криптованые пароли
(которые в свою очередь IBM DB2 понимает). Вообщем результатом стала
возможность не отказыватся от вкусностей которые предлагает Castle
(blowish пароли, rsbac) и получить возможность DB2 работать на этом
замечательном дистрибутиве. В будущих планах создать chrooted
environment для IBM DB2, хотя как мне кажется это не будет такой простой
задачей :)
--
With Best Regards
Ivan D. Synytsyn
S/390 Sysadm of ICC Krasnoyarsk RW
Russian Federation
Подробная информация о списке рассылки Castle