impersonation / run as ?

[Nicopilami]

Bonjour à tous
je cherche à faire une impersonation (un runas) dans mon code, en fonction de la personne qui est loguée sur la page.

En effet, par défaut le code de l'utilisateur se déroule avec les droits du serveur web Apache, mais je souhaiterais ici qu'il prenne les droits de la personne connectée au serveur, dont j'ai l'identifiant et le mot de passe.

Comment faire ? Est-ce possible ?
(c'est opur se loguer et faire des actions sur le serveur, comme des mkdir et autres fonctions d'admin...)

bye
Nico

[FirePrawn]

Bonjour,

Il y a une solution que j'avais utilisé lors de mon BTS : tu rajoutes un champ dans ta base de données avec différentes valeurs ( par exemple 1 pour user, 2 pour admin ) et sur tes pages, en plus de récupérer login/mot de passe tu récupères ce champ, et tu affiches ce que tu veux en fonction de sa valeur.

[Nicopilami]

Hello

merci pour la réponse, mais ce n'est pas ce que je cherche.

mon problème est une question de droit pour effectuer des actions sur le serveur et eviter les "action denied" quand les actions en questo nécessitent des droits d'admin (root).

d'autres suggestions ?

bye
Nico

[transgohan]

C'est forcement Apache qui va exécuter les actions. Sinon faudrait redémarrer le serveur web à chaque connexion avec un nouvel user, t'imagines pas le bordel ?

Faut partir sur ce que propose FirePrawn, couplé à des appels système pour obtenir les droits de l'utilisateur en question avant d'exécuter l'action ça doit être possible, bien qu'un poil chiant.

[Agnello Fabrice]

Citation:

Envoyé par Nicopilami

d'autres suggestions ?

Bonjour,

ce que vous essayez de faire est éminemment dangereux du point de vue de la sécurité, mais maintenant si vous savez minimiser les risques vous pourriez essayer la solution suivante (sous linux/unix, parce que sous windows, la solution ne fonctionnera pas) :
- donner un shell au user apache (qui normalement ne devrait pas en avoir)
- inscrire le user apache dans la liste des sudoers
- lancer vos commandes systèmes via la fonction exec de PHP en construisant vos actions avec la commande sudo du système sous-jacent (non testé, juste une idée):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
$user = 'user'; // utilisateur que vous avez identifié dans votre application
$cmd = 'sudo -u '.$user.' whoami';
echo exec($cmd);
?>

je n'ai pas testé cette solution, mais il me semble qu'elle devrait fonctionner (au delta des points de configuration que j'ai certainement oublié).

HTH.

[Nicopilami]

Citation:

Envoyé par Agnello Fabrice

Bonjour,

ce que vous essayez de faire est éminemment dangereux du point de vue de la sécurité, mais maintenant si vous savez minimiser les risques vous pourriez essayer la solution suivante

Je suis conscient de ce problème de sécurité et j'ai normalement mis en place un système d'authentification efficace (en tout cas j'espère), en utilisant le SDK de mon serveur (fonctions d'authent "built in", donc pas du bidouillage).

J'ai essayé d'utiliser AjaxTerm mais je "subis" de gros temps de latence que je ne souhaiterais pas avoir.

Citation:

Envoyé par Agnello Fabrice

(sous linux/unix, parce que sous windows, la solution ne fonctionnera pas) :

Le serveur est sous Unix

Citation:

Envoyé par Agnello Fabrice

- donner un shell au user apache (qui normalement ne devrait pas en avoir)
- inscrire le user apache dans la liste des sudoers

euh... comment faire cela ?
(vous l'aurez compris, je suis novice en linux)

Citation:

Envoyé par Agnello Fabrice

- lancer vos commandes systèmes via la fonction exec de PHP en construisant vos actions avec la commande sudo du système sous-jacent (non testé, juste une idée):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

c'est ce que je pensais faire.

Citation:

Envoyé par Agnello Fabrice

je n'ai pas testé cette solution, mais il me semble qu'elle devrait fonctionner (au delta des points de configuration que j'ai certainement oublié).
HTH.

Merci, je testerai ca ce soir

bye
Nicolas