<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Texte de bulles Car";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";
        mso-fareast-language:EN-US;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.TextedebullesCar
        {mso-style-name:"Texte de bulles Car";
        mso-style-priority:99;
        mso-style-link:"Texte de bulles";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=FR link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span lang=EN-US>Hello,<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>I was facing a problem with the mod-auth-sys-group apache module which comes with mod-auth-pam : <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>I wanted to set up a restriction access to a SVN repository based on group membership OR given user. The problem was that the module keeps saying  "GROUP: XXX not in required group(s).", even if the user match the require user directive. <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>To be clear, here is a configuration file : <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>        <Location /svn/repo><o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                        DAV svn<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                        SVNPath /srv/svn/repos/repo<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                        SVNListParentPath Off<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>                        </span>Options FollowSymLinks<o:p></o:p></p><p class=MsoNormal>                        AuthName "Please authenticate"<o:p></o:p></p><p class=MsoNormal>                        AuthPAM_Enabled on<o:p></o:p></p><p class=MsoNormal>                        <span lang=EN-US>AuthPAM_FallThrough on<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                        AuthBasicAuthoritative off<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                        AuthGROUP_Enabled on<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                        AuthGROUP_FallThrough on<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                        AuthUserFile /dev/null<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                        AuthType Basic<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                        Require group "some group"<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                        Require user "some.user"<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>        </Location><o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>And I want the access to be granted if the user is in specified group(s) OR if the user is listed…<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>I found the solution by patching the module. In comments it is said (mod_auth_sys_group.c) : <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>typedef struct {<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>  int<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>    fall_through,       /* 1 to DECLINE instead of HTTP_UNAUTHORIZEDif we<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                           can't find the username in a group. <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                           (default to 0) */<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>    enabled;            /* 1 to use mod_auth_sys_group, 0 otherwise<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>                          (defaults to 1) */<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>} auth_sys_group_dir_config;<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>But the fall_through is never used. So I changed the end of the sys_group_check_auth function : <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>  if(conf->fall_through == 0)<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>  {<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>    ap_log_rerror(APLOG_MARK, APLOG_ERR, 0, r, "GROUP: %s not in required group(s).",r->user);<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>    ap_note_basic_auth_failure (r);<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>    return HTTP_UNAUTHORIZED;<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>  } else<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>  {<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>    return DECLINED;<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>  }<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>And everything works as expected ! <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Regards<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Julien PILLON<o:p></o:p></span></p></div></body></html>