[Momonga-devel.ja:02713] Re: cups 用の pam の設定方法

[KOMATSU Shinichiro <koma2@xxxxxxxxxxxxxxxx>]

小松です。

On 2004/08/19, at 15:17, zunda wrote:

> Momongaとしての選択肢は、
> 1. SuSEと同様Digest認証にして、インストール時にユーザーにlppasswdの実行を促す
> 2. RunAsUserをNoにしてpamにrootを認証してもらう
> ということになるのかな？個人的には最初の選択肢がいいと思うのですが
> どうでしょう？

私も 1. の方がいいと思います。
確か cups は root で動いていても
必要に応じて(filter 実行時とか)権限を落としたとは思うのですが、
どうしても必要なとき以外は root では動かしたくないです。

で、SuSE で使ってる認証は Digest ではなく BasicDigest ってやつですね。
これは、HTTPの認証には Digest認証ではなく Basic認証を使います。
ただし、そのためのパスワードとかは /etc/{passwd,shadow} ではなく
cups 独自のやつ(/etc/cups/passwd.md5) を読むと。

本当は Digest認証の方が安全なはずだけど、
対応しているクライアント(ブラウザ)が少ないとよく言われるので
default は Basic認証にしておいた方がいいのかな。

>> SuSE の方には /etc/cups/passwd.md5 とかいうファイルが
>> あったりとかしませんか？
>
> ありました。内容は、
>  root:sys:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
> (Xは0-fの１６進数）で、/etc/shadowに記録されている文字列とは
> 違っていました。
>
> 気になるのはこのファイルがどうやって作られているのか、ということですが、
>   $ rpm -qf /etc/cups/passwd.md5
>   file /etc/cups/passwd.md5 is not owned by any package
> で、rootのパスワードを変更してみてもファイルの日付は変更されず、
> 新しいパスワードでは認証されませんでした。わはは。また、
>   $ rpm -q --scripts cups | grep passwd.md5
> しても一致する行はありませんでしたので、cupsのインストール時に作っている
> わけではなさそうです。

SuSE-9.0-LiveEval-i386-Int-RC1.iso なんてのを焼いてみて
立ち上げて調べてみたのですが、

     $ rpm -qa --scripts | grep lppasswd

とか

     $ rpm -qla | xargs grep lppasswd

とかしてみてもそれらしいものは出てきませんね。

で、一番クサイのはインストーラーで、
おそらく root のパスワードを設定する時に
一緒に /etc/cups/passwd.md5 も作ってるんじゃないかと思います。
/usr/share/doc/packages/yast2-printer/cups.txt を見ると
/etc/cups/passwd.md5 を作るインターフェースもあるみたいだし。

-- 
---------------------------------------
       小松  晋一朗
koma2@xxxxxxxxxxxxxxxx
koma2@xxxxxxxxxxxxxxxxx
http://straycat.ms.u-tokyo.ac.jp/~koma2/
---------------------------------------