petropavel 28 окт 2011 в 09:12

Аутентификация через PAM в MySQL

5 мин

5.9K

MySQL *

Из песочницы

+33

Комментарии 13

mark_ablov 28 окт 2011 в 09:48

Оборачивать в do/while(0) и использовать там же goto — это за гранью зла и добра :)
В данном случае (nesting depth довольно низкая) я бы сделал так:

    ret = CR_ERROR;
    do
    {
        if (!PAM_SUCCESS(pam_start(service, info->user_name, &c, &pamh)))
            break;
        if (!PAM_SUCCESS(pam_authenticate (pamh, 0)))
            break;
        if (!PAM_SUCCESS(pam_acct_mgmt(pamh, 0)))
            break;
        if (!PAM_SUCCESS(pam_get_item(pamh, PAM_USER, (const void**)&new_username)))
            break;
        if (new_username)
            strncpy(info->authenticated_as, new_username, sizeof(info->authenticated_as));
        ret = CR_OK;
    } while (0);

А так да, прикольно.
Тоже люблю допиливать исходники.

mark_ablov 28 окт 2011 в 09:53

> *(param->ptr)++ = '\n';
За вот такое все мы любим C :)

romy4 28 окт 2011 в 10:49

Круто и здорово! Как я понял, это именно авторизация, а права на базы, таблицы и прочее как и раньше остаётся в mysql_* таблицах?

И особым бальзамом стало использование cmake вместо автогена и конфигура.
Ввели бы уже тег <offtop>

snevsky 28 окт 2011 в 12:33

Да, но главное что можно пользоваться GRANT PROXY

petropavel 2 ноя 2011 в 11:01

это именно аутентификация (отвечает на вопрос «а этот тип — точно Вася?»). а авторизация (ответ на вопрос «а что этому Васе тут позволено делать?») — как и раньше в mysql.* таблицах.

petropavel 2 ноя 2011 в 11:09

ну, чье решение «роднее» — это спорный вопрос :)
pluggable authentication я писал. И вначале оно появилось в MariaDB. Потом мы его подарили Ораклу.

petropavel 2 ноя 2011 в 11:10

ой, не туда ответил…

imperial 28 окт 2011 в 11:13

Отличная информация. Спасибо за статью.

mcshadow 28 окт 2011 в 12:27

Очень радует, что прогресс пошел и народ осознал всю полезность и необходимость этой фичи в больших компаниях. Особенно радует то, что наша песочница на хабре — флагман в этом вопросе. Осталось чутка подождать и надеюсь кто-нибудь напишет плагины для остальных основных аутентификационных систем.

snevsky 28 окт 2011 в 12:34

единственно возможной остается аутентификация по паролю

гениальное решение… не знал что хорошую идею можно реализовать настолько криво

akalend 30 окт 2011 в 08:46

как ни странно, ОпнСоурсные решения иногда лучше «родных»
К примеру HandlerSockek — мне нравится больше, чем родной «innoDb-memcached»

спасибо за статью, возможно даже буду использовать, надо будет обязательно потестить.

mrpsycho 21 ноя 2011 в 20:22

это я правильно понимаю, что теперь можно припилить AD (да и OD) к этому?

petropavel 21 ноя 2011 в 21:35

к PAM-у — нет.
К pluggable authentication — легко.

Может я такой плагин тоже напишу, кстати.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий