= Сообщение: 1327 из 10763 ===================================== RU.UNIX.BSD = От : Valentin Davydov 2:5020/400 03 Apr 14 16:02:52 Кому : Victor Sudakov 03 Apr 14 16:02:52 Тема : Re: Нерезолвящийся хост в /etc/radius.conf FGHI : area://RU.UNIX.BSD?msgid=<1187485518@ddt.demos.su>+fff93037 На : area://RU.UNIX.BSD?msgid=2:5005/49+533d087b = Кодировка сообщения определена как: CP866 ================================== ============================================================================== From: Valentin Davydov <sp@m.davydov.spb.su>
> From: Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> > Date: Thu, 03 Apr 2014 14:05:06 +0400 > >> > >> Если в /etc/radius.conf (это конфиг pam_radius) хотя бы одно имя > >> сервера не резолвится, то аутентификация через RADIUS перестает > >> работать полностью, несмотря на наличие в конфиге других исправных и > >> резолвящихся серверов. Мораль: записывать в этом конфиге IP адреса, > >> или в /etc/hosts прописывать все RADIUS сервера. > > VD> Или, что правильнее, обращаться из требующей аутентификации программы > VD> к радиусу напрямую, минуя этот самый pam. > >IMHO с точки зрения идеологии это не лучший вариант.
С точки зрения идеологии программиста - вполне вероятно. А вот с точки зрения идеологии сисадмина - как раз наоборот, далеко не лучшим вариантом считается наличие в системе безопасности громоздкого промежуточного звена, работающего с наивысшими привилегиями, напрямую подверженного влиянию (возможно проспуфленных) сетевых данных, да к тому же написанного в манере, склонной игнорировать исключения и неоднократно демонстрировавшей buffer overrunы, в т.ч. и с возможностью исполнения произвольного кода.
>Да и не все программы поддерживают RADIUS самостоятельно.
Так ведь и pam, того-с, не все программы поддерживают ;-)
