Hello Sergei,
Thursday, August 31, 2006, 3:12:54 PM, you wrote:
SF> Здравствуйте!
SF> Очень плохо, что нет поиска :-\
SF> Стоит oops 1.5.24 из портов FreeBSD 6.0
SF> ==========================
SF> oops version 1.5.24
SF> CC=cc
SF> CFLAGS=-O -pipe -march=pentium3 -fPIC -D_REENTRANT -DFREEBSD
SF> -D_THREAD_SAFE -DFD_SETSIZE=2048 -I. -DWITH_LARGE_FILES -pthread
SF> -I/usr/local/include -export-dynamic
SF> LIBS=-lfl -lpam -lcrypt /usr/local/lib/libpcreposix.a
SF> /usr/local/lib/libpcre.a -lstdc++
SF> =================================================
SF> Есть acl username.
SF> acl inet_users username
SF> include:/usr/local/etc/oops/acl_inet_users
SF> touch /usr/local/etc/oops/acl_inet_users
SF> chown oops /usr/local/etc/oops/acl_inet_users
echo "vasiapupkin" >> /usr/local/etc/oops/acl_inet_users
echo "sergey" >>> /usr/local/etc/oops/acl_inet_users
SF> Далее ,что делать ?
SF> Как добавить в группу butt?????
SF> networks_acl inet_users; но networks_acl src-ip...
SF> почему нельзя написАть acl_allow inet_users; ?
потому что нельзя. я совсем недавно кидал сюда комплект патчей для
введения такой фичи, но интерес особо никто не проявил...
version 1.5.23-rsa0.4
05.2005 - новый ключ в описании группы - users_acl
допускает любые ACL типа username. при отсутствии этого ключа механизм
помещения в группу работает как и раньше.
в связи с особенностями определения в какую группу помещается запрос
(собственно этими особенностями я и воспользовался, чтобы сильно не
ломать код), рекомендуется добавление в начале списка групп псевдогруппы
login (имя несущественно), в которой будет один
_реально_не_существующий_
пользователь, но все возможные сетевые адреса. но не обязательно.
логика работы этого ACL:
1) проверяется network_acl группы, если совпало - проверяем users_acl,
если совпало - присваиваем группу,
2) проверяем networks группы, если совпало - проверяем users_acl,
если совпало - присваиваем группу
3) если п.1 и п.2 результата не дали - крутим группы дальше,
пока не кончатся
4) если кончились - запрещаем доступ нафиг.
если users_acl не определено - то не проверяется, если
имя пользователя = NULL (в начале ветки проверки запроса, до прохода
его через модуль auth, так оно и будет) то тоже не проверяется, группа
назначается только на основе networks или networks_acl (как и раньше).
SF> помогите с username - вообще не документировано :(
SF> и почему не работает networks_acl ???????
потому что так сделано.
--
Best regards,
Kris mailto:[EMAIL PROTECTED]
=====================================================================
If you would like to unsubscribe from this list send message to
[EMAIL PROTECTED] with "unsubscribe oops" in message body.
Archive is accessible on http://lists.paco.net/oops-rus/
