Привет
> DB> Единственное, что приходит в голову - suid'ная программка,
принадлежащая
> DB> руту, принимающая от перлового скрипта данные и, прикинувшись нужным
нам
> DB> юзером, осуществляющая все файловые операции.
> DB> Судя по архивам, с год назад тут нечто подобное обсуждалось. Ничего
> DB> разумного тогда придумать не удалось?
> 4) вы ДЕЙСТВИТЕЛЬНО этого хотите ? тогда пускайте свой apache из под
root'а
> и все файлы создавайте под ним же - по степени разрушительности это
близкое
> действие...
Не, я этого не хочу ;) потому и не пускаю апача из-под рута, а пытаюсь
придумать какое-то внешнее приложение.
>
> P.S. Да, как несложно заметить из вышеописанного, этот самый suid'ный
бинарник
> НИ В КОЕМ СЛУЧАЕ не должен абсолютно доверять тому, что его вызывает
легальный
> скрипт; в худшем случае нужно реализовать набор проверок a-la suexec, но
лучше
> всего вынести авторизацию в него...
Вот собственно об этом и был мой вопрос - как это лучше организовать. Либо
скрипт передает
нашему бинарнику представленные юзером логин и пароль, а тот каждый раз
бегат в tacacs и проверят (долго небось это будет очень?). Или можно давать
бинарнику номер тикета (Apache::TicketAcess всеравно будет использоваться
для идентификации клиента самим скриптом), чтобы тот его проверял на
валидность.
--
С уважением
Блинов Денис,
Технический Центр РТС
=============================================================================
= Apache-Talk@xxxxxxxxxxxxx mailing list =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
= Archive avaliable at http://www.lexa.ru/apache-talk =
"Russian Apache" includes software developed
by the Apache Group for use in the Apache HTTP server project
(http://www.apache.org/) See
Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C)
1997-2009 Alex Tutubalin. Design (C) 1998 Max Smolev.