11624 2007-04-26 00:51:58 +0400 нерабочий authpam "из коробки" 2007-05-23 05:32:56 +0400 1 1 4 Development Sisyphus courier-imap unstable all Linux CLOSED WONTFIX relnote P2 major --- 1 lakostis lakostis alex_sinister lakostis ldv mike qa-sisyphus oldest_to_newest 49519 0 lakostis 2007-04-26 00:51:59 +0400 1. Из-за неправильно выставленных прав на файлы в /etc/pam.d (по-умолчанию там root:600), работа authpam становится невозможной, т.к. в момент проверки authdaemon работает с правами непривилегированного пользователя. 2. Пользователь courier не имеет execute прав на /etc/tcb -> дальнейшая проверка пароля также невозможна (было бы неплохо упомянуть об этом в документации). Т.е. для полной работоспособности authpam необходимо выполнить потенциально unsecure действия - внести пользователя courier в группу shadow и стартовать authdaemon с GID=auth. Steps to Reproduce: 1. authtest -s imap user xxxxxx 2. strace -Ffp<pid> (к authdaemon) Actual Results: 1. authtest -s imap user xxxxxx Authentication FAILED: Operation not permitted 2. strace -Ffp5126 (к authdaemon) ... [pid 5126] close(7) = 0 [pid 5126] wait4(-1, Process 5126 suspended <unfinished ...> [pid 7461] close(6) = 0 [pid 7461] stat64("/etc/pam.d", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0 [pid 7461] open("/etc/pam.d/imap", O_RDONLY|O_LARGEFILE) = -1 EACCES (Permission denied) [pid 7461] open("/etc/pam.conf", O_RDONLY|O_LARGEFILE) = -1 ENOENT (No such file or directory) [pid 7461] open("/etc/pam.d/other", O_RDONLY|O_LARGEFILE) = 6 [pid 7461] fstat64(6, {st_mode=S_IFREG|0644, st_size=154, ...}) = 0 [pid 7461] mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7fe5000 [pid 7461] read(6, "#%PAM-1.0\nauth required "..., 4096) = 154 [pid 7461] open("/lib/security/pam_deny.so", O_RDONLY) = 8 [pid 7461] read(8, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0 \3\0\000"..., 512) = 512 [pid 7461] fstat64(8, {st_mode=S_IFREG|0644, st_size=2548, ...}) = 0 [pid 7461] mmap2(NULL, 5548, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 8, 0) = 0x971000 [pid 7461] mmap2(0x972000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 8, 0) = 0x972000 [pid 7461] close(8) = 0 [pid 7461] read(6, "", 4096) = 0 [pid 7461] close(6) = 0 [pid 7461] munmap(0xb7fe5000, 4096) = 0 [pid 7461] time(NULL) = 1177533210 [pid 7461] close(7) = 0 [pid 7461] exit_group(0) = ? Process 5126 resumed Process 7461 detached <... wait4 resumed> [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 7461 --- SIGCHLD (Child exited) @ 0 (0) --- Expected Results: Чтобы пол-дня не тратить время на запуск такой в простой конфигурации. 49520 1 lakostis 2007-04-26 00:53:44 +0400 BTW эта инфа очень кстати для создания VPS'а - потому как по-умолчанию там как раз настаивался бы authpam 50427 2 lakostis 2007-05-20 01:35:56 +0400 ping 50456 3 dlebkov 2007-05-21 02:18:26 +0400 См. https://bugzilla.altlinux.org/show_bug.cgi?id=9371 50559 4 mike 2007-05-22 14:50:23 +0400 Как раз собирались именно это и повесить. Димы, возможно ли всё-таки добиться рабочей из коробки конфигурации пакета в сизифе? Рассчитывать по умолчанию на LDAP не приходится. 50596 5 dlebkov 2007-05-23 05:32:49 +0400 (In reply to comment #4) > Димы, возможно ли всё-таки добиться рабочей из коробки конфигурации пакета в > сизифе? Рассчитывать по умолчанию на LDAP не приходится. В принципе, возможно всё ;) Как появится время, я постараюсь сделать еще один подход на предмет работоспособности courier-* "из коробки" во всех вариантах. Я пока не имею ответов на свои вопросы из #9371 и обсуждения в Сизифе, упомянутого там. В ближайшие выходные подниму тему в sisyphus@, ну и по результатам обсуждения "заточу" пакеты courier-* ;)