Авторизовать по системным пользователям

[Alex Keda]

сабж. апачем, или php - возможно ли?
Раскуриваю авторизацию - но пока чё-то глухо...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

не секурно
давать доступ в мастер пасворду)

[zg]

лучше формировать .htpasswd и авторизовать апачем, либо учётки хранить в базе

[Alex Keda]

ну, объясню.
есть хостинг, учётки системные.
надо как-то дать доступ к просмотру статистики.
паролей всех, в открытом виде нету. иначе проблемы бы не было.
точно верные есть в одном месте - в master.passwd
поэтому либо авторизовать по нему, либо вытаскивать хэши и дальше авторизовать перлом или пыхом и сравнивать хэши....

[Alex Keda]

бродит в уме вариант с sudo - тока в мысль оформиться не может....

[f_andrey]

Посмотрел бы может можно как то на стандартный PAM завязать

[paradox]

завязать то можно
но давать доступ к мастер пасворду несекурно

поэтому лучше отфильтруй мастерпасворд от рута и прочего
и тогда уже юзай

[f_andrey]

Так PAM для того и предназначен, там только придумать нужную цепочку, ну если конечно это будет возможно и все будет.

UPD: если я правильно понял задачу и буржуйский язык то лису поможет вот это

[ProFTP]

сделай скрипт который "синхронизирует" пользователей из системы в БД
некоторых пользвтаелей можно поставить в БД или в Лдап и т.д.

если я правильно понял...

[Alex Keda]

http://www.lissyara.su/?id=1434
попинайте

[f_andrey]

http://www.lissyara.su/?id=1434
попинайте

Ну мне пока не сильно интересно, но глядиш кому и пригодится, только эта спелчекером прогони

[koffu]

Использую для авторизации через pam_winbind, тазик видит юзверей/группы из AD, взято с рабочего сервера

Код: Выделить всё

Alias "/stat" "/var/www/lightsquid"
<Directory "/var/www/lightsquid">
AuthPAM_Enabled on
AuthPAM_FallThrough off
AuthBasicAuthoritative off
AuthType        Basic
AuthName        "Enter valid Username/Password"
require         valid-user

AddHandler cgi-script .cgi
AllowOverride All
Options FollowSymLinks ExecCGI
DirectoryIndex index.cgi
</Directory>
------------------------------------------------------------------------
/etc/pam.d/apache2
@include common-auth-winbind
@include common-account-winbind
------------------------------------------------------------------------
/etc/pam.d/common-auth-winbind
auth    sufficient      pam_winbind.so require_membership_of=DOMAIN\username
auth    sufficient      pam_winbind.so require_membership_of=DOMAIN\group
auth    required        pam_unix.so use_first_pass
------------------------------------------------------------------------
/etc/pam.d/common-account-winbind
account sufficient      pam_winbind.so require_membership_of=DOMAIN\username
account sufficient      pam_winbind.so require_membership_of=DOMAIN\group
account required        pam_unix.so

сейчас охота прикрутить pam_ldap, ибо ради одного сервиса так влом поднимать samba+krb+вводить это дело в домен, пока разбираюсь.

[Alex Keda]

это не системные...

[koffu]

это не системные...

в /etc/nsswitch.conf ставим откуда брать список "локальных пользователей". там-же пишем files winbind, что говорит брать из /etc/passwd и winbind. Авторизовать будет через тот модуль, который, в моем случае, прописан в /etc/pam.d/apache2, а там хоть pam_dbm, pam_mysql, pam_winbind, pam_ldap, pam_passwd(кажись так) какой хош, тем pam и хорош.

[Alex Keda]

ты пробовал - авторизует?

[koffu]

ты пробовал - авторизует?

Это конфиги из рабочего сервера. Цель была сделать squid+ssh+samba+apache-lightsquid+apache-sqstat, чтобы это все могло авторизовать из AD, но из консоли заходило только под локальными.
В apache локальные учетки тоже проходят, если поменять в pam.d модуль под локальную авторизацию. Почитай про pam, модули и способы авторизации. Немного запутано, но удобно и очень гибко. А главное эти "шаблоны" можно использовать в любом софте, поддерживающего аутентификацию через pam.

[f0s]

пойдем другим путем.. есть пользователи, но не системные, они в ладе, но в то же время по id система ихз фидит. FreeBSD 6.3

хочу сделать следующее.. пользователь заходит на _http://www.artpaint/stat/, ему выдается станадртное введите имя/пароль. После того, как имя и пароль распознались, нужно, выдать ему каталог в зависимости от того., какое он имя ввел.. то ест если ввел vasya, то выдать _http://www.artpaint/stat/vasya

[ProFTP]

а что гугл говорит?

можно отредиректить на _http://www.artpaint/stat/vasya

[f0s]

а что гугл говорит?

можно отредиректить на _http://www.artpaint/stat/vasya

вопрос в том, на чем реализовывать редирект, причем нужно тогда чтобы он подставлял имя %login%

[zg]

дак на пыхе и реализуй, если UID есть, лдап есть, пых справится.

[ProFTP]

я это не делал, посмотри там где авторизация пхп с апаче

[f0s]

дак на пыхе и реализуй, если UID есть, лдап есть, пых справится.

вот я и спршивал, может велосипед-то уже есть?

[zg]

вот я и спршивал, может велосипед-то уже есть?

эм... мне кажется там от силы строк двадцать кода будет..

а так примеров я не видел.

[iye]

Скриптик редиректа по аутхнейму:

Код: Выделить всё

#!/usr/bin/perl
use CGI qw/:standard/;
my $gg;
$gg=remote_user();
if ($gg eq "admin"){
        print redirect("https://www.host.ru/admin");
} else {
        print redirect("https://www.host.ru/$gg") ;
}
#print end_html;

Это индекс. Там же где лежит этот скриптик, лежит .htaccess с запросом на авторизацию.