[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: passwd -> ldap

>> А также потому, что доступ до userPassword в LDAP средствами nss -
>> очевидная дыра в безопасности. Всё равно что /etc/shadow на чтение
>> открывать.
> 
> Не понимаю чем вас rootbinddn в ldap.conf не устраивает?

При чём тут ldap.conf я не очень понимаю, но общий смысл такой.
getpwnam() действительно не знает про LDAP ничего. 
Байнд к LDAP осуществляет libnss_ldap, причём пароль не спрашивается, а
значит должен храниться в /etc/libnss-ldap.conf.
Если этот файл доступен на чтение пользователям, то все пользователи могут
прочитать все хэши.
Если этот файл доступен только руту, то начинаются глюки. Без nscd вообще
никто ничто из nss считать не сможет, с nscd некоторые проги всё равно
глючат - не работает finger, ~us<TAB> в bash и т.п. Хотя последнее может
быть багом в glibc.

В отличие от nss, PAM действительно байндится к LDAP под тем пользователем и
с тем паролем, который вводится при аутентификации.
Reply to: