[Momonga-devel.ja:03029] Re: cupsd の認証方式

From: zunda <zunda616e@xxxxxxxxxxx>
Date: Thu, 10 Mar 2005 02:24:19 +0900 (JST)

zundaです。お騒がせしてます。

cupsdの認証方式、以前、Digestにしようという議論があったのを
僕が不必要に覚えていたのが混乱のもとでした。

pamが使えない場合に、basic認証しようとすると/etc/shadowを読む
必要があるためcupsdはrootで走らせないといけないが、digest認証
なら/etc/cupsd/passwdを読めればいいのでlpで走らせることができ
る、ということだったと思います。

今回は、
1. 久しぶりにcupsの設定をした
2. lppasswdがパスワードファイルを書けないことがわかった
3. /etc/cupsdのownerを変えた
4. cupsd.confが以前議論のあったdigest認証になってないことに気づいた
5. ついでに変えた
という流れで認証方法も変更しちゃいました。

lppasswd（lpにsuidされている）の必要な人のために、/etc/cupsdのowner
はlpのままでいいと思ってます。（僕の場合は必要なかったわけですが）
認証の方は、たかたささんの書いたとおりbasicにしたほうがいいですよね。
時間ができたら作業しますが、急ぎであれば、cupsd.conf.inにあててある
パッチをはずしてしまってください。

--- Masahiro Takahata <takahata@xxxxxxxxx> からのメッセージ：
> たかはたです。
> 
> On Thu, 10 Mar 2005 00:29:24 +0900
> Tamotsu Takahashi <tamo@xxxxxxxxxxxxxxxxx> wrote:
> 
> > On Thu, Mar 10, 2005 at 12:04:47AM +0900, Hiroyuki Koga wrote:
> > > On Wed, 9 Mar 2005 23:26:46 +0900
> > > Tamotsu Takahashi <tamo@xxxxxxxxxxxxxxxxx> wrote:
> > > 
> > > > On Wed, Mar 09, 2005 at 11:15:19PM +0900, Hiroyuki Koga wrote:
> > > > > 2)の場合，lppasswd で設定しなければ認証が通らないため，気づかない人が
> > > > > たくさん出るのはないかと思います．（インストール時に警告もしくは
> > > > > lppasswdの実行が出来れば大丈夫かもしれませんが...）
> > > > > 
> > > > > そこで，デフォルトとしては，1)のBasic認証にしている方がわかりやすいと
> > > > > 思いますが，いかがでしょうか？
> > > > > （cupsd はデフォルトでは localhost からしかアクセスできませんし）
> > > > 
> > > > http://www.momonga-linux.org/archive/Momonga-devel.ja/msg02712.html
> > > > ([Momonga-devel.ja:02713] Re: cups 用の pam の設定方法)
> > > > 
> > > > にて、(2) にすることが決定したのだと思います。
> > > 
> > > 確かに以前議論がありましたね．
> > > その時との違いとして，以前はpam認証がうまくいっていなかったため，cupsd
> > > を root で動かす必要がありましたが，現在は lp で動作している cupsd で
> > > pam 認証が出来ています．以前の議論では，root 権限で動作させるのが問題
> > > なのかBasic認証の方が問題なのかよく読み取れていません...
> > 
> > root 権限も lppasswd も不要なら、たしかに (1) が最善のように思えます。
> > 小松さんは認証方式ではなく権限を問題にしているのが明白ですが、
> > 全体としては、たしかに、どちらが問題とされていたのか不明ですね。
> > きっと zunda さんがなんとかしてくださるでしょう。:)
> 
> (1)にしましょう。
> FAQなんてのはない方がいいんです。どうしても必要な所だけ書くべきです。
> FAQがあるから特殊なことをしていいってわけじゃない。
> 
> 普通にアクセスしてパスワードきかれた時に何入れるかを考えると
> root/[rootのパスワード]かなぁと。
> 
> > > > とはいえ lppasswd は FAQ になること必至ですね。
> > > 
> > > これを避けたかったのが理由なのですが，例え localhost からのみのアクセス
> > > でも Basic 認証ではなく，Digest 認証を必須にするほど堅くするのがポリシー
> > > であれば，それでもいいような気がしますね．
> > 
> > これはセキュリティにはあまり寄与しないような気がします。
> 
> lppasswdで設定しても、pamにしても、デフォルトの状態ではlocalhostしかアクセスが
> できないのでセキュリティレベルが下がってるとは思えません。


__________________________________
Let's Celebrate Together!
Yahoo! JAPAN
http://pr.mail.yahoo.co.jp/so2005/

Follow-Ups:
- [Momonga-devel.ja:03030] Re: cupsd の認証方式
  - From: zunda

References:
- [Momonga-devel.ja:03028] Re: cupsdの認証方式
  - From: Masahiro Takahata

Prev by Date: [Momonga-devel.ja:03028] Re: cupsdの認証方式
Next by Date: [Momonga-devel.ja:03030] Re: cupsd の認証方式
Previous by thread: [Momonga-devel.ja:03028] Re: cupsdの認証方式
Next by thread: [Momonga-devel.ja:03030] Re: cupsd の認証方式
Index(es):
- Date
- Thread