[castle] IBM DB2 и Castle

Ivan Synytsyn ids на krw.ru
Ср Мар 20 11:32:10 MSK 2002


Привет Всем!

Хочу поделится опытом наступания на грабли при установке и настройке IBM 
DB2 v7.x в Castle. Надеюсь это комунить пригодится. Я пропущу пробелемы 
связаные с процедурой инсталяции и создания баз, поскольку они все 
решаются прописыванием соответствующих прав в rsbac и вообщем то не 
являются сложными :) Начну сразу с самого интересного, DB2 не могла 
аутенифицировать ни одного пользователя в системе. Методом долгих 
поисков обнаружилась что за атенификацию пользователей отвечает 
(instance_home)/sqllib/security/db2ckpw, который и не мог мог этого 
сделать. После долго исследования выяснилось что эта хреновина 
аутенфицирует пользователей не через pam а использует crypt (который по 
умолчанию ниче кроме DES не умеет делать) на передаваемый ей пароль и 
сверяет с содержимым /etc/shadow. Естественно ей не удается провести 
аутенификацию поскольку для криптования паролей в Castle используется 
blowfish. Вообщем для решения этой проблемы пришлось применить следующий 
"хак": 1) создать pam-service /etc/pam.d/db2passd такого содержания
#%PAM-1.0
auth       required     /lib/security/pam_stack.so service=db2system-auth
account    required     /lib/security/pam_stack.so service=db2system-auth
password   required     /lib/security/pam_stack.so service=db2system-auth
и создать pam-service /etc/pam.d/db2system-auth который полностью 
соответcтвует /etc/pam.d/system-auth, за исключением слова blowfish 
(которое оттуда было стерто). Далее брались исходники passwd и в них 
заменялось строки содержащие открытие сервиса passwd на открытие сервиса 
db2passd, все это компилялось и в итоге получался бинарник despasswd, 
который теперь позволяет в /etc/shadow иметь DES криптованые пароли 
(которые в свою очередь IBM DB2 понимает). Вообщем результатом стала 
возможность не отказыватся от вкусностей которые предлагает Castle 
(blowish пароли, rsbac) и получить возможность DB2 работать на этом 
замечательном дистрибутиве. В будущих планах создать chrooted 
environment для IBM DB2, хотя как мне кажется это не будет такой простой 
задачей :)

-- 
With Best Regards
Ivan D. Synytsyn
S/390 Sysadm of ICC Krasnoyarsk RW
Russian Federation






Подробная информация о списке рассылки Castle