LDAP еще раз
Добрый день.
От теоретической работы с LDAP перешел к практической - и вот серия
вопросов:
1) при переносе пользователей в LDAP в атрибуте userPassword хранится
unix-пароль, а не LDAP-пароль - иначе авторизовать пользователя логин не
может. В чем тогда глубинный смысл разрешения "by anonymous auth", если
авторизоваться against этих паролей все равно не получится?
2) соответственно, кто-то должен иметь возможность читать пароли, что не
весело. Я в общем завел пользователя, которому больше ничего и нельзя, и
через него читаю пароли и авторизуюсь, но все рано как-то невесело.
Может, есть другие варианты?
3) apt-get install libnss-ldap и исправление nsswitch.conf на предмет
passwd: files ldap дает возможность авторизации юзерам и из LDAP, и из
/etc/passwd - но с одной странностью.
LDAP-юзер имеет промпт в баше "I have no name!@host:~$" - что странно.
Куда он теряет имя?
Более того, если такой юзер создает файл - то остальные (passwd-юзеры)
нормально видят его владельца и группу, а он сам - в только UID/GID
(разрешения чисел в имена н епроисходит) - опять же, непонятно, почему?
pam-ldap не использую и все еще не понял, зачем он нужен - кроме как
алтернативный вариант, без исправления nsswitch, но с исправлением
pam.d/login на предмет достаточности pam_ldap-аутентификации.
--
Alexander A. Vlasov,
Debian GNU/Linux user
Reply to: