sslug-teknik team mailing list archive

[Troels Arvin <troels@xxxxxxxx>]

Mads Bondo Dydensborg wrote:
> Er dette modul et standard modul? Eller har du "fisket" det nogen steder
> fra?
Der er indtil flere smb-relaterede PAM-moduler. Det, som jeg bruger, er
følgende:
http://www.csn.ul.ie/~airlied/pam_smb/ (samme mand har skrevet et ncp
modul til PAM, således at Linux kan få en Netware server til at tjekke
passwords).

Udestående problem: Folk _skal_ figurere som brugere i Linux-systemets
egen user-database (/etc/passwd, /etc/shadow) - men gerne uden tildelt
unix-password. Og der er så vidt jeg ved ingen standard-måde at bede en
SMB-server om en liste over brugernavne (det er der til gengæld med
Netware).

> Har du set et der bruger en mysql database?
Tjek http://www.dk.kernel.org/pub/linux/libs/pam/modules.html

Kig også forbi http://www.dk.kernel.org/pub/linux/libs/pam/ hvor du vil
finde links til dokumentation.
MySQL-modulet har vist for nylig været oppe på PAM-mailing listen, så
tjek evt. arkivet over denne liste.

PAM er fedt, og er utvivlsomt et sikkerheds-øgende system; men omvendt
kan man ret let komme til at blotlægge sin server _fuldstændigt_, hvis
man ikke har læst på lektien. Jeg kom fx. engang til at konfigurere en
server, således at alle (inkl. root) kunne logge ind, ligegyldigt
hvilket password de anvendte ;-)

Det kan godt betale sig at læse om PAM, for der er flere nye
autorisations-metoder på vej, som godt kunne gå hen og blive meget
udbredte:
 - LDAP: generelt buzz-ord i øjeblikket.
 - Kerberos: gammelt/velkendt, men i Europa nok ikke særlig 
   udbredt. Skulle blive standard i Wind 2000's
   Active Directory, så vidt jeg har hørt. Sandsynligvis 
   med den sædvanlige mængde Microsoft-'extensions'
   (=standard-brud).
 - Længere ude i fremtiden: Smartcards.

-- 
Greetings from Troels Arvin, Copenhagen, Denmark