Contexto:
Gostaria de implementar a autenticação HTTP para uma seção de um site hospedado com o Nginx, mas permitir que os usuários usem a mesma senha que eles usam para o login do samba / shell, semelhante ao que é possível com a autenticação do Windows no IIS.
Pergunta:
ngx_http_auth_pam_module parece fazer o que eu quero, mas esta linha no leiame me assusta:
you need to let the web server user to read the /etc/shadow file
Eu entendo que shadow guarda hashes de senha em vez de senhas, mas isso ainda parece ser uma "coisa ruim" para expor ao grupo www-data, já que esses hashes e os nomes de usuários associados estão potencialmente expostos à web. / p>
Este é um medo válido, ou eu estou apenas sendo paranóico?
Afora:
Com um pouco de pesquisa, parece que a autenticação do PAM deve ser possível sem ser possível acessar a sombra, então não sei por que o plugin é implementado dessa maneira ...