Проверка прав пользователя

локальных - для сервера локальных? или для клиента?

локальных для сервера

>Как бы вы проверили, является ли комбинация логин-пароль локальным пользователем?

Как бы вы проверили, есть ли у пользователя права на доступ к ресурсу?

man 3 crypt не то?

т.е. ты предлагаешь распарсить файлы с паролями? (просто уточняю)

NTLMа неправославного захотелось?
В вебмине вроде былa реализация.

> аутентификация только через стандартный логин

на сервере

Если я правильно понял, то это очень неправильно.

у меня нечто вроде Вебмина. Всё в порядке.

>т.е. ты предлагаешь распарсить файлы с паролями?

угу. А как иначе-то? Если уж «нужно системных». Но я-бы не рискнул такое реализовывать. ИМХО это как-то неправильно... Сама идея неправильная.

с комстроки членство в группах можно добыть:

getent group wheel

id user

ну как.. можно попробовать честно залогиниться башем, например. Или по ssh. Можно сразу отключиться, а можно и выполнить какую-нибудь безобидную команду типа uname -a и expect'ом распарсить ее вывод. Или по-быстрому сконпелять LDAP, скриптами перегнать туда пользователей и лезать уже LDAP'ом. Или пользователям поднять вебсервисы для аутентификации в ~/html. Много можно чего придумать -) Так же права к ресурсам можно не считывать, а сразу ломиться и обрабатывать ошибки доступа, тоже разными способами. Отсюда и вопрос, какой способ наиболее православен с точки зрения лоровца.

> хотя вся равно в /etc/shadow не добраться без привелегий

предположим, что на выполнение некоторых строго определенных действий серверу можно дать привилегии рута.

е удобнее через pam аутентификацию настроить а потом уже проверять

т.е. при установке пакета с админкой, автоматом по зависимостям поставить pam, автоматически же отконфигурять и ребутнуть?

man 7 pam

а, он сразу есть. Всё равно, конфигурить pam за пользователя автоматом - какая-то совсем грустная идея. Меня могут убить.

>можно попробовать честно залогиниться башем

не получится. Надо expect'ом. Но тогда придётся держать в текстовом файле пароль в открытом виде. Несекьюрно.

Или по ssh.

а это ИМХО уже лучше, ибо пароль вводить не нужно. И хранить его не нужно.

> Но тогда придётся держать в текстовом файле пароль в открытом виде.

но ведь пользователь и так вводит этот пароль открытым текстом чтобы залогиниться в веб-админку -) Т.е. какое-то время этот пароль полюбас харнится в оперативке, за это время можно его прогнать экспектом. Потом на сервере делается сессия, а пользователю в куки сохраняется session token, вся коммуникация - REST с ключом session token. Одно из полей серверной сессии будет флагом, является ли этот пользователь «системным» или нет.

>но ведь пользователь и так вводит этот пароль открытым текстом чтобы залогиниться в веб-админку

Но зачем-же его хранить? Для вебсервера пароль не нужен, ему только хеш нужен, который можно как можно быстрее посчитать. Для su тоже пароль не нужно знать. А вот expect'у он таки нужен. Надо какую-то сложную схему создавать, что-бы этот пароль надёжно удалить. Короче - не секьюрно ИМХО.

А вот expect'у он таки нужен.

он ему разве не один раз нужен - для проверки пользователя в момент логина?

>он ему разве не один раз нужен - для проверки пользователя в момент логина?

один. Я же не говорю, что это невозможно, я говорю что это потенциально более опасно.

Как бы вы проверили, является ли комбинация логин-пароль локальным пользователем?

Написал бы suid'ный testlogin, который в параметры или на stdin принимает логин и пароль, и который пытается сделать нормальную процедуру login через PAM, а на выходе возвращает 0 (найден) или 1 (не найден).

Или вообще засунул бы юзеров в LDAP и делал ldap_bind.

Почитай как работает qmail checkpassword. Можешь прям его и использовать.