2

Linux システムのユーザーが自分のアカウントに関連する特定のタスクを実行できるようにする Web インターフェイスを開発したいと考えています。Python と Apache の mod_python を使用して、サイトのバックエンドを作成することにしました。ユーザーを認証するには、python_pamを使用して PAM サービスにクエリを実行できると考えました。モジュールにバンドルされているを適応させたところ、次のようになりました。

# out is the output stream used to print debug
def auth(username, password, out):
    def pam_conv(aut, query_list, user_data):
        out.write("Query list: " + str(query_list) + "\n")

        # List to store the responses to the different queries
        resp = []

        for item in query_list:
            query, qtype = item

            # If PAM asks for an input, give the password
            if qtype == PAM.PAM_PROMPT_ECHO_ON or qtype == PAM.PAM_PROMPT_ECHO_OFF:
                resp.append((str(password), 0))

            elif qtype == PAM.PAM_PROMPT_ERROR_MSG or qtype == PAM.PAM_PROMPT_TEXT_INFO:
                resp.append(('', 0))

        out.write("Our response: " + str(resp) + "\n")
        return resp

    # If username of password is undefined, fail
    if username is None or password is None:
        return False

    service = 'login'
    pam_ = PAM.pam()
    pam_.start(service)

    # Set the username
    pam_.set_item(PAM.PAM_USER, str(username))

    # Set the conversation callback
    pam_.set_item(PAM.PAM_CONV, pam_conv)

    try:
        pam_.authenticate()
        pam_.acct_mgmt()
    except PAM.error, resp:
        out.write("Error: " + str(resp) + "\n")
        return False
    except:
        return False

    # If we get here, the authentication worked
    return True

私の問題は、単純なスクリプトで使用する場合でも mod_python を使用する場合でも、この関数が同じように動作しないことです。これを説明するために、次の簡単なケースを書きました。

my_username = "markys"
my_good_password = "lalala"
my_bad_password = "lololo"

def handler(req):
 req.content_type = "text/plain"
 req.write("1- " + str(auth(my_username,my_good_password,req) + "\n"))
 req.write("2- " + str(auth(my_username,my_bad_password,req) + "\n"))
 return apache.OK

if __name__ == "__main__":
 print "1- " + str(auth(my_username,my_good_password,sys.__stdout__))
 print "2- " + str(auth(my_username,my_bad_password,sys.__stdout__))

スクリプトの結果は次のとおりです。

Query list: [('Password: ', 1)]
Our response: [('lalala', 0)]
1- True
Query list: [('Password: ', 1)]
Our response: [('lololo', 0)]
Error: ('Authentication failure', 7)
2- False

しかし、mod_python の結果は次のとおりです。

Query list: [('Password: ', 1)]
Our response: [('lalala', 0)]
Error: ('Authentication failure', 7)
1- False
Query list: [('Password: ', 1)]
Our response: [('lololo', 0)]
Error: ('Authentication failure', 7)
2- False

auth関数が同じ入力に対して同じ値を返さない理由がわかりません。どこでこれを間違えたのですか?これが元のスクリプトです。

どうもありがとう !

編集:エラーが見つかりました。スクリプトをルートとして実行していました。mod_python は、Web サーバーのユーザーとしてスクリプトを実行していました。root のみがシャドウを読み取る権限を持っています。これをどのように回避するかはわかりませんが、少なくとも問題が何であるかはわかりました。

4

1 に答える 1

0

PAM 認証を使用するには、Apache を有効にする必要があるようです。このサイトを見てみましょう: http://www.debianhelp.co.uk/apachepam.htm

このサイトもご覧になることをお勧めします: http://inming.net/?p=86

于 2010-04-02T21:46:34.740 に答える