auth – Gea-Suan Lin's BLOG

把 Trac 改成 Form Login 後 XMLRPC 不會動的問題...

我自己再用的 Trac 本來是走 HTTP 的 Authorization header 登入，但這樣每次重開瀏覽器就要登入一次，覺得麻煩... 就想要找套件改成用 HTML form login。

目前比較有在維護的應該是 AccountManagerPlugin 這套，內建就支援本機密碼，也支援 plugin 掛其他外部服務進去。

但掛進去後發現本來的自動開票機 (i.e. 用 crontab 開票) 就沒辦法登入了，最後找到得用 HttpAuthPlugin 處理。這個套件一開頭就寫了他也是為了 XmlRpcPlugin 而寫的：

This plugin allows you to protect certain paths with HTTP authentication. The AccountManagerPlugin is used to check passwords.

Primarily this is meant to be used with the XmlRpcPlugin, so it will work while using AccountManager's form-based logins.

就是遇到同樣的問題...

nginx 透過 libnginx-mod-http-auth-pam + libpam-ldap 串起 LDAP

如果 nginx 想接 LDAP 認證，網路上找到的資料主要都是透過 nginx 的模組直接支援，但這需要自己 compile 一個出來 (因為內建的好像都沒支援)，對於後續維護不太方便，就懶了... 後來研究出來的方法是 nginx 接 PAM，再用 PAM 接上 LDAP，這些都有現成套件可以一路串起來。

首先是 nginx 要裝 PPA 版 (像是「NGINX Stable : “Nginx” team」這個版本)，裡面的 nginx-full 會包括 libnginx-mod-http-auth-pam，接下來是安裝 libpam-ldap，這樣套件就裝好啦...

設定的部份，nginx 內這樣設：

    location ~ /test {
        auth_pam "Secure Zone";
        auth_pam_service_name "nginx-ldap";
    }

然後 /etc/pam.d/nginx-ldap 裡面掛上 LDAP 就可以了：

auth    required     pam_ldap.so
account required     pam_ldap.so

重點在於 /etc/ldap.conf 內的設定，我是只 base dc=example,dc=com (base 是什麼) 與 uri ldap:/// (LDAP 伺服器在哪)，其他都註解掉。

這樣是比較麻煩沒錯，不過軟體其他人都包好了，這樣反而省了維護軟體的功夫...

StartSSL 將 auth.startssl.com 放在奇虎 360 的機房內

話說最近用 Nuzzel 用的還算開心，可以抓到不少文章，但意外的是這篇在 Nuzzel 上沒看到，是在 Allen Own 的 Facebook 時間軸上看到的 (這則)。

原文出自「Why I stopped using StartSSL (Hint: it involves a Chinese company)」。

最主要的安全問題在於 auth.startssl.com 放在中國公司奇虎 360 的機房內，而這是身份認證用的伺服器。基於中國是個人治而非法治的國家 (i.e. 無法確保 CA 的稽核機制是有效的)，我決定把 StartSSL 的 root certificate 從 trusted chain 裡面拔掉，以免中獎...