Re: авторизация pam_ldap
Василий wrote:
> Здравствуйте, Alexander.
>
> Вы писали 20 июля 2005 г., 19:30:00:
>
>>for i in /etc/ldap/ldap.conf /etc/ldap/slapd.conf /etc/default/slapd
>>/etc/nsswitch.conf /etc/libnss-ldap.conf /etc/pam.d/common-*; do echo
>
> "";echo "#>>>>>>$i";cat "$i"|grep -v "^#\|^$";done
> в /etc/ldap/slapd.conf хранится хэш пароля администратора ldap, зачем
> делать файл доступным для чтения всем?
нет там никакого хэша, где вы его у меня видели?
>>access to *
>> by dn="cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su" write
>> by * read
>
> ^^^^^^^^^^^^^^^^^ мне не хочется давать доступ на чтение полей базы
> всем кто не прошел авторизацию
возможно добавить anonymous none, вот только я бы вместо этого запретил
бы просто коннектиться к лдапу недоверенным лицам. (удаленно только
доверенным ssl, а локально если коннектится, значит все-же зашел.)
Потому что наверняка полно сервисов, которые без осуществления bind
лазают по ldap.
> #>>>>>>/etc/default/slapd
>
>>SLAPD_CONF=
>>SLAPD_USER=
>>SLAPD_GROUP=
>>SLAPD_PIDFILE=
>>SLURPD_START=auto
>>TRY_BDB_RECOVERY=yes
>>SLAPD_SERVICES="ldap://127.0.0.1:389/";
>
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^однако если включить эту опцию
> ldap сервер пропадает напрочь (хм...)
как это пропадает? он остается висеть только на lo. не открывать же его
в интернет?
>
>
>>SLAPD_OPTIONS=""
>>SLURPD_OPTIONS=""
>
>
> простите, а что у вас в /etc/pam_ldap.conf ?
забыл :)
# grep -v "^$\|^#" /etc/pam_ldap.conf
host 127.0.0.1
base dc=eol,dc=lvk,dc=cs,dc=msu,dc=su
ldap_version 3
rootbinddn cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su
timelimit 30
bind_timelimit 30
pam_password exop
в /etc/ldap.secret хэш логина админа (и только этот файлик 640)
Reply to: