← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #16037

Det "rigtige" svar (også en FAQ) Re: Hvad er det med kppp???

  Thread PreviousDate PreviousThread Next 
On Thu, 2 Dec 1999, Brian J Rasmussen wrote:

til sslugs email arkiv dims:
kppp redhat 6.1 61 redhat61 rh61 rh6.1 pam pam.d pluggable authentication
module

> Jeg har lige installeret RH 6.1, og alt virker tilsyneladende ok - MEN,
> hvorfor spørger kppp om root's password når man prøver at koble på som
> bruger?????

Efter at have læst pam.d i flere timer, kommer her forklaringen;

/usr/bin/kppp er i redhat6.1 et link til /usr/bin/consolehelper

/usr/bin/consolehelper er en "pam.d" wrapper. Den finder sin config fil i
/etc/security/console.apps/kppp : 
---------
USER=root 
PROGRAM=/usr/sbin/kppp 
SESSION=true
---------
Heraf ses, at det program der rent faktisk skal køres er /usr/sbin/kppp,
som root, og der skal registreres en "session" for at det virker....

Det er imidlertid ikke så vigtigt. Hvad der er vigtigt er filen
/etc/pam.d/kppp som efterfølgende anvendes af consolehelper for at
godkende starten af kppp:

Jeg har rodet lidt meget med den fil, så det her er et bud på hvordan den
nok så ud da rh6.1 blev installeret: 
---------- 
#%PAM-1.0 
auth sufficient /lib/security/pam_rootok.so 
auth required /lib/security/pam_pwdb.so 
session optional /lib/security/pam_xauth.so
account required /lib/security/pam_permit.so
---------- 

Den første linie er en kommentar. 
Den næste linie siger at mht. autorisation, er det _tilstrækkeligt_ at
brugeren er "root". Hvis det er tilfældet, vil linie 3 _ikke_ blive brugt,
ellers vil linie 3 blive brugt; da brugeren er "root" og auth med pwdb.so
kræves, skal man give root password. (Jeg mener ihvertfald det er her).

De sidste par linier handler om oprette en session (mest aht. logging),
samt hvilke rettigheder man har - da man skal have root auth, har man
stort set alle rettigheder, og derfor anvendes permit.

Hvis man f.eks. ønsker at give alle brugere der har er logget ind på
konsollen, kan man ændre filen til 
---------- 
#%PAM-1.0 
auth sufficient /lib/security/pam_rootok.so 
auth sufficient /lib/security/pam_console.so 
auth required /lib/security/pam_pwdb.so 
session optional /lib/security/pam_xauth.so
account required /lib/security/pam_permit.so
---------- 

Her er checket:
a) root? Ja: OK, nej: næste check
b) ved konsol? Ja: OK, nej: næste check
c) Kan man give root password? Ja: OK, nej, fejl. (pga. required).

Hvis man ønsker at lave hvad der svarer til "suid root", kan man lave:
---------- 
#%PAM-1.0 
auth sufficient /lib/security/pam_permit.so 
session optional /lib/security/pam_xauth.so
account required /lib/security/pam_permit.so
---------- 

a) Kan brugeren... JA! :-)

> Som sagt har jeg lige installeret og har ikke orket at lede efter evt.
> hjælp i kde eller gnome - så jeg er lidt doven ;-) og spørger jer derude
> om jeg kan undgå dette lille problem da det irriterer mig grænseløst!

Jeg har aldrig haft en original rh6.1 i hænderne, så jeg aner ikke om det
står i manualen. Men, noget siger mig at RH rykker mere og mere i retning
af PAM til en masse "smarte" (?) konfigurations opsætninger.

Det tog mig godt og vel 4 timer at læse mig til ovenstående. Det er ikke
specifikt afprøvet med kppp - blandt andet fordi jeg er forbundet med kppp
lige nu - men det burde virke. 

For dem af os der vil lave ting med redhat fremover, bør vi nok læse op på
pam ved lejlighed. 

man consolehelper
man userhelper
/usr/doc/pam..../html

er steder at starte. 

Og hvis nogen kan forklare mig hvorfor jeg ikke kan få pam_listfile til at
virke, vil jeg stadig gerne vide det. ;-)

Mads

P.S. Pam er ikke redhat ej heller linux specifikt. Det virker smart, men
også lidt tungt at komme igang med. Bliver interessant at se om det vil
vinde yderligere udbredelse, f.eks. i LSB.

P.P.S. Som det ses af ovenstående er consolehelper en måde at wrappe
applikationer med pam. Det giver nogen interessante muligheder, som er
værd at tage med hvis man lyst til at lave "sjove" auth ting, f.eks. kun
tillade afvikling af programmet quake som suid root mellem kl 17 og 05 af
en række brugere der er medlem af en særlig gruppe, osv osv.

-- 
Mads Bondo Dydensborg.                               madsdyd@xxxxxxxxxxxx
The point is to decide what your needs are, pick an editor that looks like
it may fit them and then MASTER it. Learn every little nuance and key
stroke. Not just the easy stuff you pick up in an hour or two but especially
the obscure stuff. Learn it so well that your mind can stay about two steps
ahead of hands even when using the arcane commands and keystrokes. Then you
can edit in front of crowds and people will ohh and awe. Source code will
fear you. Project managers will want you. 
                                        - Dana S. Wheeler, M.D. on emacs/vi

References

  Thread PreviousDate PreviousThread Next