На Thu, 31 Jan 2008 12:40:47 +0200 Покотиленко Костик <casper@meteor.dp.ua> записано: > С LDAP немного разобрался. Начали возникать идеи по внедрению. > > Итак, как с помощью LDAP сделать идентификацию и аутентификацию > понятно. Не совсем понятно как с его помощью сделать авторизацию. > > На пальцах: пользователей с паролями в LDAP засовывать научился, > программы проверять это дело по LDAP тоже научил. Теперь представим > себе такую картину, что один пользователь в базе должен иметь доступ > к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? Например так: для каждого сервиса почта, ssh, samba заводится отдельный objectClass (схему создаешь сам). И еще и разные поля для паролей используешь. Получается что-то вроде: # xxx, People, yyyy dn: uid=xxx,ou=People,dc=yyyy uid: xxx cn: xxx uidNumber: 1013 gidNumber: 100 homeDirectory: /home/xxx ftpHomeDirectory: /home/xxx loginShell: /bin/bash objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount objectClass: mailAccount objectClass: ftpAccount shadowLastChange: 13018 gecos: XXX userPassword: xx ftpPassword: xx mailPassword: xx Собственно для самбы все так и происходит. Ну и естественно сервисы должны работать не через pam или bind авторизацию, а логиниться в лдап по сервисному аккаунту и проверять пароль сами. (В настройках ладапа поля с паролем доступны для чтения только сервисным аккаунтам и админу). -- Best regards, Alexander GQ Gerasiov Contacts: e-mail: gq@cs.msu.su Jabber: gq@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D
Attachment:
signature.asc
Description: PGP signature