Debian alatt próbálom beüzemelni éles intranetes webszerveren a php5-auth-pam csomagot.
A pam_auth kiterjesztés szépen látszik a phpinfo-ban, mind parancssori, mind webszerveres változatban.
Azonban az alábbi egyszerű php tesztprogram csak parancssorból ad kedvező eredményt, webszerverrel (böngészőben) nem; itt Authentication failure érkezik.
A webszerver naplófájljában semmi hiba nem látszik, a pam_auth függvényt látja jól az apache2.
<?php
if (pam_auth('felhasznalo', 'titkosjelszo', &$error)) {
echo "Yeah baby, we're authenticated!";
} else {
echo $error;
}
Mi lehet a gond?
- 2414 megtekintés
Hozzászólások
Az apache konfigjában (vagy a sites fileban) Allow from-ban engedélyezted a kliens géped IPjét?
--
TH
- A hozzászóláshoz be kell jelentkezni
Ha magán a webszerveren indítok egy links-et, és ott nézem meg a webhelyet, akkor is sír a szája.
- A hozzászóláshoz be kell jelentkezni
Nem lehet, hogy az apache-ot futttato usernek valami pam configban erosen korlatos jogai vannak, privilege elevation kerulendo?
- A hozzászóláshoz be kell jelentkezni
Kiváló ötlet, utánanézek! Köszi!
- A hozzászóláshoz be kell jelentkezni
fixme! ilyenkor nincs az a moka, hogy apache2 www-data userkent fut, viszont a pam-os authhoz root jog kell (shadow oldasas)?
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Igazad lett.
Végül ezt kaptam a rendszergazdától:
"A /etc/shadow-hoz olvasási jog kellene a webszervernek, azt meg nem vállalom be."
- A hozzászóláshoz be kell jelentkezni
Ha esetleg LDAP-ban vannak a jelszavaitok, akkor erdemesebb lehet LDAP kapcsolattal hasznalni, az jobban bejaratott ut PHP alol. Ha erdekel, irtam ehhez egy megoldast.
- A hozzászóláshoz be kell jelentkezni
Nem LDAP-ban vannak sajnos. Köszi mindenesetre.
- A hozzászóláshoz be kell jelentkezni
Esetleg dobd fel, ez meg a rendszergazdanak is tetszhet. Nem kell mindenhol karban tartani a usereket. Alternativakent nezd meg, hogy egy SASL szerverrel tudsz-e autentikalni.
- A hozzászóláshoz be kell jelentkezni
Képben van ezzel kapcsolatban, és már számos könyörgés elhangzott, hogy ugyan álljunk már át LDAP-re. De ez csak a (távoli) jövő zenéje.
- A hozzászóláshoz be kell jelentkezni
Mi szol ellene, hogy legalabb masodlagos adatbaziskent ott legyen? Akar lehetne scripttel szinkronizalni a kettot es nem olyan irdatlan sok melo felhuzni.
- A hozzászóláshoz be kell jelentkezni
Csak tippem van arra, hogy mi szól ellene. Kérdezd az illetékest. :-) A tippem: ami a kötelezően elvárt teendőket csak egy paraszthajszállal is meghaladja, az felejtős. Éljen a lustaság.
- A hozzászóláshoz be kell jelentkezni
Üzletileg megindokolható? Stabilabb vagy biztonságosabb lesz a szolgáltatás? Ha ezek közül bármelyikre igen a válasz, akkor menj ahhoz az emberhez, aki fizeti és mondd meg neki.
- A hozzászóláshoz be kell jelentkezni