Задний план:
Я хотел бы реализовать HTTP-аутентификацию для раздела веб-сайта, размещенного на Nginx, но разрешить пользователям использовать тот же пароль, который они используют для входа в систему samba / shell, аналогично тому, что возможно с аутентификацией Windows в IIS.
Вопрос:
ngx_http_auth_pam_module вроде делает то, что я хочу, но меня пугает эта строчка в ридми:
вам нужно разрешить пользователю веб-сервера читать файл / etc / shadow
Я понимаю, что shadow хранит хэши паролей, а не пароли, но это все еще кажется «плохой вещью» для раскрытия группы www-data, учитывая, что эти хэши и связанные с ними имена пользователей потенциально доступны в Интернете.
Это обоснованный страх, или я просто параноик?
В стороне:
Немного покопавшись, кажется, что аутентификация PAM должна выполняться без возможности доступа к тени, поэтому я не уверен, почему плагин реализован таким образом ...