RE: [devel] Аутентификация пользователей в PAM/pam_tcb непривелегированным процессом

Вт Мар 9 13:04:57 MSK 2004

> -----Original Message-----
> From: devel-bounces на altlinux.ru 
> [mailto:devel-bounces на altlinux.ru] On Behalf Of Dmitry V. Levin
> 
> On Sun, Mar 07, 2004 at 10:54:01AM +0300, Dimitry V. Ketov wrote:
> [...]
> > > Добавлять пользователя apache в группы shadow и auth?  
> > > Неужели это обязательно?
> > Модуль mod_auth_pam выполняется в его контексте 
> безопасности apache: uid=96(apache) gid=96(apache) 
> группы=96(apache), но должен проводить аутентификацию 
> запросов в PAM/pam_tcb.
> > Полагаю что решить поставленную задачу без добавления 
> пользователя apache в группы shadow и auth невозможно. Я неправ?
> 
> Вообще говоря, есть и другие варианты, например, используя
> привилегированный helper или сервер аутентификации.

Первый вариант с helper= хорош, но RUID контекста выполнения pam_tcb должен совпадать с пользователем, которого аутентифицируют и даже понятно почему, но в случае apache это невозможно (?).

Второй вариант это я так полагаю (что почитать?) это отдельный привилегированный процесс, использующий PAM для аутентификации пользовтелей, к которому через сокеты unix обращаются непривилегировнные процессы для аутентификации?