Installer et configurer Auth Shadow sur Debian/Ubuntu

Avertissement

Cette méthode d’installation et de configuration fonctionne pour moi, en utilisant une combinaison d’apt et de compilation à partir des sources. Par conséquent, une méthode plus simple peut exister. Assurez-vous toujours de vérifier le logiciel que vous installez à partir d’apt en utilisant

apt-cache showpkg pkgname

pour la version et les dépendances. Comme d’habitude, vos résultats peuvent varier et vous procédez à vos propres risques.

Prérequis

Vous devez avoir une installation fonctionnelle d’apache ou apache2 et comprendre les concepts impliqués dans le redémarrage du serveur, l’activation des modules et l’emplacement et le format des fichiers de configuration, par exemple, httpd.conf ou apache2.conf.

Contexte

Auth Shadow ou mod-auth-shadow est un module pour apache (et apache2, en quelque sorte) qui permet l’authentification contre /etc/shadow. Les avantages étant que tout utilisateur système avec un mot de passe peut être authentifié pour web_dav, subversion ou simplement un serveur https. La seule autre façon de le faire est avec PAM. Cette méthode est dangereuse car l’utilisateur apache (www-data dans mon cas) doit pouvoir lire /etc/shadow. Évidemment, ce n’est pas une bonne idée. Auth Shadow accomplit cela en toute sécurité en utilisant un programme intermédiaire appelé validate. Cela fonctionne parce que validate peut être possédé par root mais exécutable par tout le monde. Dans le cas où votre serveur est compromis via apache, votre fichier de mots de passe ne sera pas lisible.

Installation

Officiellement, mod-auth-shadow n’existe que pour apache et non pour apache2. Je n’étais pas prêt à accepter cela. Je vais démontrer l’installation sur debian/ubuntu en utilisant apt pour apache. Pour apache2, j’ai dû trouver une version du module pour x86. Cela présente deux problèmes. Tout d’abord, la version la plus récente n’a pas encore été construite et deuxièmement, la version qui a été construite (dans un fichier .rpm) contient un bug dans le programme “validate” causant des erreurs uid.

Téléchargement - Apache2 uniquement

Téléchargez le rpm pour votre architecture depuis rpmfind.net - téléchargements.

Téléchargez le dernier code source (pour compiler validate) depuis sourceforge ici.

Installer le module

Apache:

sudo apt-get install libapache-mod-auth-shadow

Apache2:

Pour installer un module à partir d’un .rpm, vous devez installer alien.

sudo apt-get install alien

À partir de là, vous pouvez installer le rpm en faisant

sudo alien -i packagename.rpm

Compiler Validate - Apache2 uniquement

Dans le répertoire contenant la source pour mod-auth-shadow, compilez avec

sudo make validate

sudo cp validate /usr/sbin

Cela doit être fait en tant que root car les permissions sont modifiées.

Chargement du module Auth Shadow

Apache devrait être géré automatiquement par apt-get install.

Apache2 nécessite que nous

sudo a2enmod auth_shadow

Configurer Apache(2)

Où que se trouvent vos configurations pour les répertoires, les emplacements ou les hôtes virtuels, essayez de modifier la configuration suivante pour répondre à vos besoins. Seules les exigences de base sont incluses dans cet exemple.

De plus, je ne recommanderais pas d’utiliser AuthType Basic sans ssl car les mots de passe seront envoyés en texte clair.

  
AuthType Basic  
AuthShadow on  
AuthName "Connexion sécurisée contre les mots de passe utilisateurs"  
Require user system-username  
#Require user valid-user  
Order allow,deny  
Allow from all