[castle] IBM DB2 и Castle

Dmitry V. Levin ldv на alt-linux.org
Ср Мар 20 12:55:51 MSK 2002 

On Wed, Mar 20, 2002 at 11:32:10AM +0300, Ivan Synytsyn wrote:
> Хочу поделится опытом наступания на грабли при установке и настройке IBM 
> DB2 v7.x в Castle. Надеюсь это комунить пригодится. Я пропущу пробелемы 
> связаные с процедурой инсталяции и создания баз, поскольку они все 
> решаются прописыванием соответствующих прав в rsbac и вообщем то не 
> являются сложными :) Начну сразу с самого интересного, DB2 не могла 
> аутенифицировать ни одного пользователя в системе. Методом долгих 
> поисков обнаружилась что за атенификацию пользователей отвечает 
> (instance_home)/sqllib/security/db2ckpw, который и не мог мог этого 
> сделать. После долго исследования выяснилось что эта хреновина 
> аутенфицирует пользователей не через pam а использует crypt (который по 
> умолчанию ниче кроме DES не умеет делать) на передаваемый ей пароль и 
> сверяет с содержимым /etc/shadow. Естественно ей не удается провести 
> аутенификацию поскольку для криптования паролей в Castle используется 
> blowfish. Вообщем для решения этой проблемы пришлось применить следующий 
> "хак": 1) создать pam-service /etc/pam.d/db2passd такого содержания
> #%PAM-1.0
> auth       required     /lib/security/pam_stack.so service=db2system-auth
> account    required     /lib/security/pam_stack.so service=db2system-auth
> password   required     /lib/security/pam_stack.so service=db2system-auth
> и создать pam-service /etc/pam.d/db2system-auth который полностью 
> соответcтвует /etc/pam.d/system-auth, за исключением слова blowfish 
> (которое оттуда было стерто). Далее брались исходники passwd и в них 
> заменялось строки содержащие открытие сервиса passwd на открытие сервиса 
> db2passd, все это компилялось и в итоге получался бинарник despasswd, 
> который теперь позволяет в /etc/shadow иметь DES криптованые пароли 
> (которые в свою очередь IBM DB2 понимает). Вообщем результатом стала 
> возможность не отказыватся от вкусностей которые предлагает Castle 
> (blowish пароли, rsbac) и получить возможность DB2 работать на этом 
> замечательном дистрибутиве. В будущих планах создать chrooted 
> environment для IBM DB2, хотя как мне кажется это не будет такой простой 
> задачей :)

К сожалению, для перевода этой системы на TCB придется поработать.
Впрочем, объем доработки будет, как это ни странно, даже меньше.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: отсутствует
Url     : /pipermail/castle/attachments/20020320/280974b3/attachment.bin

Подробная информация о списке рассылки Castle