背景:
我想为使用 Nginx 托管的网站的一部分实现 HTTP 身份验证,但允许用户使用与 samba/shell 登录相同的密码,类似于 IIS 上的 Windows 身份验证。
问题:
ngx_http_auth_pam_module似乎做了我想要做的事情,但是自述文件中的这一行让我害怕:
您需要让 Web 服务器用户读取 /etc/shadow 文件
我理解 shadow 保存的是密码哈希值而不是密码,但这似乎仍然是一件不适合暴露给 www-data 组的“坏事”,因为这些哈希值和相关的用户名可能会暴露在网络上。
这是一种合理的恐惧吗,还是我只是有点偏执?
在旁边:
经过一番挖掘,似乎无需访问影子就可以进行 PAM 身份验证,所以我不确定为什么插件以这种方式实现...