Portál AbcLinuxu, 24. května 2024 12:22

Apache2: Autentizace via MySQL v Debianu Etch

25.7.2007 01:12 | Přečteno: 2083× | Linux | Výběrový blog

V aktuálně stabilní verzi Debianu Etch (v4.0) není přítomen modul mod_auth_mysql (libapache2-mod-auth-mysql). Popis jak se mi jej podařilo nahradit pomocí mod_auth_pam (libapache2-mod-auth-pam + libpam-mysql).

Balíček libapache2-mod-auth-mysql není v Debianu Etch díky nemožnosti jeho kompilace s Apache verze 2.2. Sice na zdrojový kód existuje patch, ale podle některých ohlasů po jeho aplikaci a úspěšné kompilaci dochází k problémům komunikace modulu mod_auth_mysql s databází MySQL. Podařilo se mi nahradit tento modul pomocí libapache2-mod-auth-pam + libpam-mysql (prováděno na amd64). Nutno ale říci, že to není 100% náhrada.

Instalace potřebného (Apache2 a MySQL už je nainstalováno)

aptitude install libpam-mysql libapache2-mod-auth-pam

Standardně je PAM pro apache2 nasměrován na systémové účty. Oddělení od systémových účtů a nasměrování na jednu tabulku v databázi zajistí následující obsah /etc/pam.d/apache2:

#@include common-auth
#@include common-account
auth required pam_mysql.so user=xxx passwd=yyy host=localhost db=apache2 table=users usercolumn=username passwdcolumn=pass crypt=mysql
account required pam_mysql.so user=xxx passwd=yyy host=localhost db=apache2 table=users usercolumn=username passwdcolumn=pass crypt=mysql

Parametry pam_mysql.so jsou samovysvětlující. Pozornost si zasluhuje parametr crypt. Pomocí něj se nastavuje v jakém formátu je v databázi uloženo heslo: "plain|crypt|md5|mysql". "crypt=md5" předpokládá hesla uložená v databázi jako "plain md5 hex", tedy vytvořená v MySQL pomocí funkce MD5. "crypt=mysql" pracuje s formátem dle MySQL funkce PASSWORD. Při nastavení "md5" jsem v logu zaznamenal hlášku:

pam_mysql - non-crypt()ish MD5 hash is not supported in this build.

Vyzkoušel jsem tedy "crypt=Y md5", ale to, dle testů, není kompatibilní s formátem funkce MD5 MySQL (takže tomu kdo už má databázi stávajících uživatelů s hesly uloženými pomocí funkce MD5 toto řešení asi nepomůže). Případné další parametry pam_mysql.so jsou popsány v /usr/share/doc/libpam-mysql/README.gz.

Dále je zapotřebí nasměrovat Apache2 na PAM. Do sekce Directory konfigurace site (třeba /etc/apache2/sites-available/default) přidat:

        AuthPAM_Enabled on
        AuthPAM_FallThrough off
        AuthType Basic
        AuthName "Restricted area"
        AuthUserFile /dev/null
        AuthBasicAuthoritative Off
        Require valid-user

Parametr AuthBasicAuthoritative Off je nutný, jinak se Apache snaží autentizovat pouze pomocí vnitřních auth_basic metod. AuthPAM_FallThrough off zajistí, že v případě neúspěchu se nepokouší další auth_* moduly. AuthUserFile /dev/null je úplné odblokování autentizace proti souborům, vzhledem k předchozím by nemuselo být nastaveno. Jak si poradit s požadavkem na různé metody autentizace v různých adresářích.

Vytvoření databáze, tabulky a nějaký ten testovací účet:

mysql -u root -p
CREATE DATABASE apache2;
USE mysql;
REPLACE INTO user (host, user, password)
    VALUES ('localhost','xxx',PASSWORD('yyy'));
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON apache2.* TO 'xxx'@'localhost' IDENTIFIED BY 'yyy';
FLUSH PRIVILEGES;
USE apache2;
CREATE TABLE `users` (
`id` INT NOT NULL AUTO_INCREMENT PRIMARY KEY ,
`username` VARCHAR( 30 ) NOT NULL ,
`pass` VARCHAR( 50 ) NOT NULL ,
UNIQUE (`username`)
) ENGINE = MYISAM ;
INSERT INTO users (id, username, passwd) VALUES('1', 'testuser', PASSWORD('heslo'));
quit;

Teď je nutné restartovat apache2 a vyzkoušet zda-li to funguje. Pokud jsou problémy, error log apache něco prozradí. A pokud se v /etc/pam.d/apache2 nastaví verbose=1, tak i /var/log/auth.log bude obsahovat pomocné informace.

Po odladění je vhodné provést změnu práv uživatele MySQL pro čtení username:pass (v našem případě xxx). Stačí pouze SELECT a to klidně i jen na pole "username" a "pass" tabulky "users". Dále je pak vhodné změnit práva a vlastnictví /etc/pam.d/apache2 (přece jenom je tam heslo do MySQL usera xxx):

chown root:www-data /etc/pam.d/apache2
chmod 640 /etc/pam.d/apache2
MartinT        

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

25.7.2007 10:14 Miroslav Suchy
Rozbalit Rozbalit vše Re: Apache2: Autentizace via MySQL v Debianu Etch
Odpovědět | Sbalit | Link | Blokovat | Admin
Na ja, a pokud chcete mit funkci tohle a jeste nekde jinde i AuthUserFile, tak tady je navod: http://suchy.blog.root.cz/0612/apache2-mod-auth-pam
26.7.2007 13:37 MartinT | skóre: 12 | blog: MT blog
Rozbalit Rozbalit vše Re: Apache2: Autentizace via MySQL v Debianu Etch
Jo jo, jak je ostatně i link v článku :-). Jinak díky za ten zápisek, pomohl mi urychlit ladění kolem AuthBasicAuthoritative.
4.9.2007 14:42 tibor
Rozbalit Rozbalit vše Re: Apache2: Autentizace via MySQL v Debianu Etch
Odpovědět | Sbalit | Link | Blokovat | Admin
skvelo napisane, potreboval som rychly workaround toho chybajuceho modulu a presne to som nasiel :) diky moc tibor

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.