Здравствуйте!
On Mon, Jan 21, 2002 at 09:06:22PM +0400, Vladimir Zarozhevsky wrote:
> >> Еще раз повторю: > >> У всех пользователей, кроме одного который работает через CLI, > >> отключен доступ к сервису POP/IMAP/PWD/ACAP. Есть доступ только по
> >> и пароля любого пользователя посредством CLI. Через CLI работает > >> только один пользователь, которым и логинется CGI скрипт, которому на > >> вход и приходит форма с логином,паролем и дополнительными нужными нам > >> параметрами. Вопрос как это сделать? > > MK> То есть сначала создаем себе сложности, а потом мужественно их > MK> преодолеваем ? :) > > MK> Подробнее: > > MK> 1) разрешаем pwd для пользователей > MK> 2) разрешаем заходы по cli только с конкретной "машины" > MK> 3) получаем login/password и идем с интерфейса, с которого разрешен > MK> заход по pwd ( cli ) на оный cli, пытаемся сделать login c > MK> login/password пользователя > MK> 4) Логин не прошел - пысылаем пользователя > MK> 5) Логин прошел - создаем пользователю сессию. Можно или нельзя > MK> сделать сессию из под пользовательских прав в cli - не помню, > MK> можно просто перелогиниться на пользователя у которого такие права > MK> есть > Спасибо. Но данный вариант написан от .... и явно не подходит к нашей > сети. > Особенно пункты 1 и 2. Этого мы себе позволить не можем.
Не доверяете firewall'у ? Позволю себе повторить пункт про создание себе сложностей. Пункт (3) - тоже очень интересен в свете пунктов 1 и 2.
> >> Зделайте пожалуйста команду в клях (CLI) типа > >> Auth(login,password) > >> которая возвращает есть такой пользователь с таким паролем или нет > >> такого пользователя с таким паролем. Вам легко, а нам оно надо очень. > > Ну так что нам ответят разработчики. Ну очень надо. > > MK> Второй вариант: > > MK> 1) приходим в cli под "superuser" > MK> 2) делаем getAccount > MK> 3) самостоятельно понимаем, что за тип пароля используется и > MK> проверяем оный пароль > MK> 4) посылаем пользователя, если не прошло > MK> 5) создаем сессию > > Очень хороший вариант и мы его хотели использовать, но только не могли > бы Вы нам прислать пункт 3 с полным описанием систем криптования, а лучше > код(ы), для всех используемых CGPro видов, и особенно если стоит External > Auth.
Ищем способ или причины ? :) Это Ваша система или нет ? У Вас есть какие-либо предпочтения по хранению паролей ? У нас есть - md5. Они начинаются с \002. Посмотреть, как и с чего начинаются остальные "криптованные" пароли - можно самостоятельно. Все остальное считается - clean text password с сравнивается посредством посимволного сравнения тем или иным способом. Как проверять md5 - извините, расказывать не буду :). Насколько это документированно - не помню.
Далее - external identification
1) у Вас она есть ?
2) Тогда зачем Вам cli - ходите напрямую в storage этой идентификации, если
Вам известен ее формат или запустите процесс и рабойте с ним с stdin/stdout, если не знаете - протокол очень прост.
Причем тут cgp ?
На этом *со мной* данную дискуссию предлагается закончить, как явно не продуктивную. Сделать проверку пароля отдельным методом в cli - это, конечно, хорошо, но уже есть много способов это сделать, не ожидая разработчиков и не устраивая прений :)
С уважением,
Михаил Кулаков
Получено Mon Jan 21 18:26:45 2002
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:13:55 MSK