abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 17:35 | Bezpečnostní upozornění

Německá Bundesnetzagentur (obdoba českého ČTU) zakázala na německém území prodej panenky Cayla kvůli „špionáži“ dětí. Tato elektronická hračka obsahuje mikrofon, reproduktor a kameru a bezdrátové komunikační rozhraní, pomocí kterého se hračka připojuje na servery výrobce. Takovýmto způsobem může hračka pomocí umělé inteligence „odpovídat“ na dotazy dítěte. Hlavní problém bude ale asi někde jinde, podle prvotních zpráv může

… více »
Petr Tomášek | Komentářů: 21
17.2. 15:30 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že bezpečnostní experti objevili nový typ malwaru, jenž cílí na open source e-commerce platformu Magento. Malware je zajímavý tím, že se jedná o první svého druhu, jehož kód zůstává skrytý v SQL databázi zasaženého e-shopu. Škodlivý kód je volán pomocí tzv. SQL trigerru, který je spouštěn při každém vytvoření objednávky v systému.

Ladislav Hagara | Komentářů: 0
17.2. 09:00 | Nová verze

Bylo vydáno Ubuntu 16.04.2 LTS, tj. druhé opravné vydání Ubuntu 16.04 LTS s kódovým názvem Xenial Xerus. Přehled novinek v poznámkách k vydání a v přehledu změn.

Ladislav Hagara | Komentářů: 37
17.2. 06:00 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje tvorbě pluginů (modulů) pro bitmapový grafický editor GIMP. Pomocí pluginů lze GIMP rozšiřovat o další funkce. Implementovat lze například nové filtry nebo pomocné utility pro tvorbu animací či poloautomatickou retuš snímků.

Ladislav Hagara | Komentářů: 6
16.2. 23:32 | Komunita

Do 30. března se lze přihlásit do dalšího kola programu Outreachy, jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 30. května do 30. srpna 2017, v participujících organizacích lze vydělat 5 500 USD. Jedná se již o 14. kolo tohoto programu.

Ladislav Hagara | Komentářů: 11
16.2. 23:13 | Nová verze

Byla vydána verze 0.92.1 svobodného multiplatformního vektorového grafického editoru Inkscape. Přehled novinek v poznámkách k vydání. Řešen je mimo jiné problém s verzí 0.92, jež rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Více v příspěvku na blogu Davida Revoye, autora open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu.

Ladislav Hagara | Komentářů: 0
16.2. 16:26 | Bezpečnostní upozornění

Byla vydána verze 1.1.0e kryptografické knihovny OpenSSL. Dle bezpečnostního upozornění 20170216 byla opravena závažná bezpečnostní chyba CVE-2017-3733.

Ladislav Hagara | Komentářů: 1
16.2. 13:03 | Pozvánky

GNOME hackaton proběhne v Brně na FIT VUT v Red Hat Labu (budova Q) v pondělí 20. února od 15:00. Registrace není nutná, ale pokud dáte na FaceBooku vědět, že plánujete dorazit, pomůže to s plánováním.

Ladislav Hagara | Komentářů: 0
16.2. 13:02 | Pozvánky

Únorový Prague Containers Meetup se koná 21. února v budově MSD. Můžete se těšit na přednášky o tom, proč a jak používat kontejnery a zároveň získat zajímavý pohled na historii a budoucnost kontejnerů.

little-drunk-jesus | Komentářů: 0
16.2. 08:55 | Zajímavý software

Google na svém blogu věnovaném vývojářům oznámil vydání verze 1.0 open source knihovny pro strojové učení TensorFlow (Wikipedie). Přehled novinek v poznámkách k vydání na GitHubu. Zdrojové kódy TensorFlow jsou k dispozici pod licencí Apache 2.0.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 656 hlasů
 Komentářů: 52, poslední 13.2. 12:45
Rozcestník
Reklama

Dotaz: Apache - mod_auth_pam

17.2.2010 22:34 kovariadam | skóre: 12 | blog: biased | Košice/Brno
Apache - mod_auth_pam
Přečteno: 486×
Dobry den, snazim sa nakonfigurovat autentizaciu cez SSL v Apache2 na CentOS 5. Konfiguracia je:

1068        < LocationMatch /efs-server >
1069                 SetHandler mod_python
1070                 PythonInterpreter main_interpreter
1071                 PythonHandler trac.web.modpython_frontend
1072                 PythonOption TracEnv /var/trac/efs-server
1073                 PythonOption TracUriRoot /efs-server
1074                 #PythonDebug on
1075
1076                 AuthName "efs-server authentication system"
1077
1078                 #AuthPAM_Enabled On
1079                 AuthType Basic
1080                 Require group developers
1081                 Require valid-user
1082        < /LocationMatch >

Skusal som bez riadku 1081 a aj s odkomentovanym 1078. Stale to vyhadzuje tuto chybu(adam je skutocny uzivatel a zadavam spravne heslo, ss je vymysleny pre skusku, ale chybu to vracia rovnaku):

[Wed Feb 17 22:24:27 2010] [error] [client 147.229.216.224] PAM: user 'adam' - not authenticated: Authentication failure
[Wed Feb 17 22:24:32 2010] [error] [client 147.229.216.224] PAM: user 'ss' - not authenticated: Authentication failure

Uzivatel 'adam' je clenom skupiny developers:

[root@kovariadam conf]# id adam
uid=500(adam) gid=500(adam) groups=500(adam),501(developers)

Konfiguracia PAMu pre Apache je defaultna:

[root@kovariadam conf]# cat /etc/pam.d/httpd
#%PAM-1.0
auth       include      system-auth
account    include      system-auth
# Comment out the previous account line and uncomment the following line if
# you wish to allow logins that don't have a system account
#account    required     pam_permit.so

a system-auth:

[root@kovariadam conf]# cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so try_first_pass nullok
auth        required      pam_deny.so

account     required      pam_unix.so

password    required      pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so try_first_pass use_authtok nullok md5
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

Nevie niekto v com moze byt problem?

Řešení dotazu:


Odpovědi

18.2.2010 04:09 Franta Hanzlik
Rozbalit Rozbalit vše Re: Apache - mod_auth_pam
Není problém v tom, že mod_auth_pam vyžaduje aby program (apache) běžel s root právy, a apache běží (v Centos defaultně) pod UID "apache"?

IMHO je lepší pro PAM authentikaci použít SUID externí program (např. pwauth) a mod_authnz_external v apache serveru.
18.2.2010 09:50 kovariadam | skóre: 12 | blog: biased | Košice/Brno
Rozbalit Rozbalit vše Re: Apache - mod_auth_pam
Dakujem za odpoved, tak som teda skompiloval a nainstaloval modul mod_authnz_external presne podla navodu. Do konfiguracie som pridal nasledujuce(podla navodu pwauth):

 206 LoadModule authnz_external_module /usr/lib64/httpd/modules/mod_authnz_external.so

1052 AddExternalAuth pwauth /usr/local/libexec/pwauth
1053 SetExternalAuthMethod pwauth pipe

1081                 AuthName "efs-server authentication system"
1082
1083                 AuthType Basic
1084                 AuthBasicProvider external
1085                 AuthExternal pwauth
1086                 #Require group developers
1087                 require valid-user

Ale nerozumiem tejto chybe:
[Thu Feb 18 09:37:26 2010] [error] [client 147.229.216.224] Invalid AuthExternal keyword (pwauth)

pwauth je na svojom mieste:
[root@kovariadam conf]# ls -al /usr/local/libexec/pwauth
-rwxr-xr-x 1 root root 21473 Feb 17 18:15 /usr/local/libexec/pwauth

Este pre istotu:
[root@kovariadam conf]# cat /etc/pam.d/pwauth
auth     required  /lib/security/pam_unix.so
account  required  /lib/security/pam_unix.so

Zistil som ale, ze pwauth funguje spravne ako ho vola root, ale ak ho zavola iny uzivatel tak neurobi nic a skonci, mozno v tom moze byt chyba, len mi neni jasne preco sa tak sprava, ked prava na spustenie ma kazdy.
18.2.2010 10:36 kovariadam | skóre: 12 | blog: biased | Košice/Brno
Rozbalit Rozbalit vše Re: Apache - mod_auth_pam
Takze som prekompiloval pwauth so spravne nastavenym #define SERVER_UIDS 72,48,500. Teda uz ho uzivatel apache moze zavolat a funguje spravne, ale zda sa, ze ho ani apache nevola alebo neviem co robi. Stale ta ista chyba Invalid AuthExternal keyword (pwauth).
18.2.2010 10:55 Franta Hanzlik
Rozbalit Rozbalit vše Re: Apache - mod_auth_pam
AddExternalAuth moje-auth /usr/bin/pwauth
SetExternalAuthMethod moje-auth pipe
AuthType Basic
AuthName "Legitimujte se, pls"
AuthBasicProvider external
AuthExternal moje-auth
Require valid-user
Satisfy Any
18.2.2010 11:06 kovariadam | skóre: 12 | blog: biased | Košice/Brno
Rozbalit Rozbalit vše Re: Apache - mod_auth_pam
Tak som tieto riadky presunul do vnutra VirtualHosta:
 
AddExternalAuth moje-auth /usr/bin/pwauth
SetExternalAuthMethod moje-auth pipe

Ale teraz pise, ze heslo je zle, ale nie je:

[Thu Feb 18 11:05:10 2010] [error] [client 147.229.216.224] AuthExtern pwauth [/usr/local/libexec/pwauth]: Failed (53) for user adam
[Thu Feb 18 11:05:10 2010] [error] [client 147.229.216.224] user adam: authentication failure for "/efs-server/": Password Mismatch

Mozem vediet preco tam mate Satisfy Any ? Lebo ked ho dam, tak ani vobec nepyta heslo.
18.2.2010 11:51 Franta Hanzlik
Rozbalit Rozbalit vše Re: Apache - mod_auth_pam
Aha, omlouvám se za možnou dezinformaci s tím "Satisfy Any" - vzal jsem to bez rozmyslu z nějaké svojí konfigurace, a tam mám ještě nastaveno povolení přístupu z LAN, bez nutnosti autentikace.

Ta chyba 53 u pwauth - nejspíš není SUID root - nastavil bych mu práva/vlastnictví: chown root:apache pwauth; chmod 4750 pwauth
18.2.2010 12:04 kovariadam | skóre: 12 | blog: biased | Košice/Brno
Rozbalit Rozbalit vše Re: Apache - mod_auth_pam
Mate pravdu, bolo to v tych pravach, este tomu asi zjavne nerozumiem. Kazdopadne velmi vam dakujem za pomoc.
18.2.2010 09:53 NN
Rozbalit Rozbalit vše Re: Apache - mod_auth_pam
Jste si jisty, ze konfigurujete apache s podporou SSL?

NN
18.2.2010 10:00 kovariadam | skóre: 12 | blog: biased | Košice/Brno
Rozbalit Rozbalit vše Re: Apache - mod_auth_pam
Dakujem za odpoved, neviem ale co tym myslite. Ten LocationMatch je vo VirtualHoste pre 443 a pred nim je nakonfigurovany SSL modul. To funguje dobre, ale aj tak nechapem ako to suvisi s problemom.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.