Computer - 5

In Single Sign-on in phpMyAdmin aus einer anderen PHP-Session habe ich erklärt, wie man mit einer bestehenden Session passwortlos zu phpMyAdmin kommt und einen entsprechden Hack für die config.inc.php gezeigt.

Inzwischen wurde phpMyAdmin 2.9.0-rc1 releast, in dem ein neues Authentifizierungsmoduls "signon", basierend auf meinem Hack, enthalten ist. Zu konfigurieren ist das Ganze über ein paar Variablen in der config.inc.php:

$cfg['Servers'][$i]['auth_type']     = 'signon';
$cfg['Servers'][$i]['SignonURL']     = '/login.php';
$cfg['Servers'][$i]['LogoutURL']     = '/logout.php';
$cfg['Servers'][$i]['SignonSession'] = 'PHPSESSID';

Die MySQL-Logindaten müssen natürlich in der Session hinterlegt werden. Gegenüber meinem ursprünglichen Code haben sich die Variablennamen leicht verändert. Die Session wird mit folgendem Code befüllt:

$_SESSION['PMA_single_signon_user'] = "username";
$_SESSION['PMA_single_signon_password'] = "password";
if (!isset($_SESSION['PMA_single_signon_token'])) {
    $_SESSION['PMA_single_signon_token'] = md5(uniqid(rand(), true));
}

Kleine Stolperfalle: PMA_single_signon_user und PMA_single_signon_password werden beim Logout aus phpMyAdmin gelöscht. /logout.php sollte also wirklich sofort den Logout machen. Wenn man eine Abfrage "wirklich ausloggen?" hat und der User "nein!" antwortet, wird man trotzdem von phpMyAdmin ausgesperrt (oder muss PMA_single_signon_* nochmal neu setzen). Ja, ich habe das reklamiert, der phpMyAdmin-Entwickler wollte das aber nicht ändern.

Übrigens: PMA_single_signon_token benötigt man immer dann, wenn man direkt auf eine Unterseite von phpMyAdmin verlinken will (z. B. um einen Datensatz direkt zu bearbeiten). Im Link zu phpMyAdmin muss der Wert dann im ?token= Parameter angegeben werden.

Ich habe seit einiger Zeit versucht, Pakete für courier-authlib-mysql in SUSE Linux integriert zu bekommen, nachdem diese des öfteren nachgefragt werden. Obwohl nur eine Änderung im Specfile erforderlich ist, endeten entsprechende Feature Requests bisher immer mit "wontfix".

Aber: Es geschehen noch Zeichen und Wunder ;-)

Auf dem kleinen Dienstweg (Mail an AJ) habe ich jetzt erreicht, dass es ab SUSE 10.2 (das dann übrigens openSUSE 10.2 heißt) ein courier-authlib-mysql Paket gibt - und nebenbei auch -pgsql und -pipe Pakete :-)

Übrigens: courier-authlib-mysql-Pakete für SUSE Linux 10.1 habe ich unter software.opensuse.org/download/home:/cboltz/ im Angebot - einzige Änderung zum Originalpaket der 10.1 ist die Aktivierung des -mysql-Pakets im Specfile.

Ich habe eine Seite mit selbstgestricktem Login auf Basis von PHP-Sessions. Jetzt will ich phpMyAdmin einbinden, ohne dass man sich nochmal darin einloggen muss - schließlich sind die Leute ja schon auf meiner Seite eingeloggt.

Sowas schreit förmlich nach Single Sign-On. Schönes Buzzword, allerdings findet Google für phpMyAdmin recht wenig zu diesem Thema.

Nach einigem Trial&Error sowie einem Nachmittag in #phpmyadmin habe ich eine Lösung geschrieben, die nur eine Ergänzung der config.inc.php braucht, ansonsten nicht in phpMyAdmin eingreift und nichtmal das normale Login stört - ich kann also dieselbe phpMyAdmin-Instanz für Single Sign-On und Cookie-basiertes Login verwenden.

Als Tastaturliebhaber muss ich bei dieser Initiative natürlich auch mitmachen ;-)

Vor ein paar Tagen habe ich einen Spamfilter ins Gästebuch von Landjugend-Insheim.de eingebaut, nachdem eine Handvoll Spameinträge aufgeschlagen war.

Weil das Gästebuch nur Plain Text-Einträge erlaubt, ist das Funktionsprinzip einfach: ich kann auf <a href=...> und [url=...]filtern. Die Spammer sind immer so nett, diese Tags in reichlicher Anzahl in ihre Einträge zu packen ;-)

Technisch gesehen sieht das so aus:

<?php
if ( preg_match ( "/\[URL=.*\]|<a[^>]*href/i", $eintrag)) {
    echo "Verp*** dich, Spammer!";
    die;
}
?>

Naja, die echte Fehlermeldung ist etwas freundlicher - es könnte ja auch mal jemand einen "guten" Eintrag schreiben und auf aktiviertes HTML hoffen. Der bekommt dann natürlich nach Entfernen der Links eine zweite Chance.

Gestern und heute hat mir dieser Filter reichlich Arbeit gespart - innerhalb von 36 Stunden hat er mir 170 Spameinträge vom Hals gehalten...

Der Server, auf dem auch dieses Blog liegt, hatte in der Vergangenheit öfter Schluckauf mit der Zeit:

• die Voreinstellung von 1&1 war "lokale Zeit", also ohne automatische Sommerzeitumstellung und grundsätzlich eine Stunde daneben
• auch nach der Umstellung auf UTC wollte sich die Uhr nicht automatisch auf Sommerzeit umstellen
• komischerweise hat ein Aufruf von yast2 timezone ohne irgendeine Änderung die Zeit immer korrigiert
• xntpd hat sich wegen einer Stunde "Zeitverschiebung" gleich nach dem Start verabschiedet

Nach längerer Zeit der Verwunderung habe ich endlich das Problem gefunden:

# rpm -V timezone
S.5....T   /usr/share/zoneinfo/Europe/Berlin

Nach Neuinstallation des timezone-Pakets bin ich die Zeitverschiebung endlich los.

Wer oder was die Datei überschrieben hat? Keine Ahnung - ich wäre aber nicht überrascht, wenn Plesk mal wieder seine Finger im Spiel gehabt hat.

(Hatte ich eigentlich schon erwähnt, was ich von Plesk halte? ;-)

Update: Zur Sicherheit sollte man auch noch die Zeitzone in den PHP-Scripten angeben:

<?php putenv( "TZ=Europe/Berlin" ); ?>

Novell hat ja mit der Entscheidung, keine non-GPL Kernelmodule mehr in SUSE Linux 10.1 mitzuliefern, für einigen Wirbel gesorgt.

Von den betroffenen Firmen war natürlich keiner begeistert (klar, die müssen jetzt die ganze Arbeit an den Treibern selbst machen). Andererseits sollen die neuen Kernel Module Packages ja Kernelupdates überleben und sind somit deutlich benutzerfreundlicher.

AVM tat sich besonders hervor und scheint derzeit Treiberpolitik auf dem Rücken der Benutzer zu machen.

Während andere Blogs längst ihren dritten Geburtstag feiern konnten, feiere ich mit dem CBlog gerade die Neueröffnung. Nunja - besser spät als nie ;-)

Softwaretechnisch betätige ich mich mal wieder als Betatester und habe gleich die aktuelle 1.0 beta3 von S9Y installiert - auch wenn ich hoffe, keine allzu großen Fehler zu finden. Jedenfalls ist diese S9Y-Installation gerade ein paar Stunden alt und daher noch mehr oder weniger eine Baustelle - die Kategorienliste ergänze ich bei Bedarf noch. Vielleicht finde ich auch irgendwann die Zeit für ein angepasstes Design, wobei ich das mitgelieferte "Blue Streak" nichtmal schlecht finde...