Administrace komentářů

Nedavno jsme se v nem hrabal, protoze na Gentoo taky nefunguje. Zda se, ze se neco zmenilo (libpam nebo sshd). Na sf.net je jedna rada, ktera udajne funguje na SuSE, pak jeste v CVS je drobna oprava, kterou jeden kolemjdouci povazoval za nezbytnou.

Konktretne pam_abl funguje tak, ze na zacatku si ulozi do PAM kontextu vlastni datovy objekt. Kazdy datovy objekt muze mit zaregistrovanu funkci, kterou PAM system spusti, kdyz se ten konretni objekt nekdo pokusi prepsat nebo kdyz ma byt zrusen.

Nasledne pam_abl otestuje IP proti databazi a kdyz neni blokovana, preda rizeni zpet libpam. Ta zavola efektivni autentizacni modul (napr. pam_unix), ktery rozhodne, zda heslo je spravne nebo spatne.

Kdyz je heslo spatne, pam_unix vrati rizeni zpet sshd s tim, ze jeste zbyvaji dalsi autentizacni pokusy (implicitne jsou 3 celkem).

sshd zahaji dalsi autentizacni kolecko, takze se znovu spusti pam_abl a znovu se pokusi ulozit datovy objekt. To je vyhodnoceno jako pokus o prepsani, takze se vyvola (minule) zaregistrovana funkce, ktere je predan status, zda se objekt rusi nebo jen prepisuje. Protoze se prepisuje, pam_abl zadny zaznam do databaze nepripise (tak to bylo navrzeny, mozna to je spatne). A pokracuje se dal.

Pokud autentizace selze i po treti, mel by libpam pri likvidaci datovych objetku vyvolat pro kazdy objekt zaregistrovanou funkci a predat status, ze se jedna o vymaz. pam_abl by takovy status mel vyhodnotit jako konecne selhani autentizace a mel by IP zapsat do databaze.

Problem je, ze se ta callback funkce uz na potreti pri vymazu objektu nezavola, takze se nic nekotroluje a ani nic nikam nezapisuje.

Takto jsem to pochopil ze zdrojaku, autor k tomu zadnou dokumentaci neposkytuje.

Nasel jsem i nejakou stiznost v mailing listu Fedory (snad jedina dostribuce, ktera pam_abl obsahuje), ale akorat poradili zanest chybu do systemu na sledovani chyb.