Re: LDAP авторизация

To: debian-russian@lists.debian.org
Subject: Re: LDAP авторизация
From: Pavel Ammosov <apavel@wapper.ru>
Date: Fri, 1 Feb 2008 13:31:37 +0300
Message-id: <[🔎] 20080201103137.GA1979123@badger.wapper.ru>
In-reply-to: <[🔎] 20080201103324.21ce890a@vice.lan>
References: <1201776047.5295.17.camel@casper2.meteor.dp.ua> <[🔎] 20080201103324.21ce890a@vice.lan>

On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov wrote:
> На Thu, 31 Jan 2008 12:40:47 +0200
> Покотиленко Костик <casper@meteor.dp.ua> записано:
> > На пальцах: пользователей с паролями в LDAP засовывать научился,
> > программы проверять это дело по LDAP тоже научил. Теперь представим
> > себе такую картину, что один пользователь в базе должен иметь доступ
> > к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать?
> Например так: для каждого сервиса почта, ssh, samba заводится
> отдельный objectClass (схему создаешь сам). И еще и разные поля для
> паролей используешь.
> 
> Ну и естественно сервисы должны работать не через pam или bind
> авторизацию, а логиниться в лдап по сервисному аккаунту и проверять
> пароль сами. 

Это вообще ерунда.  Пароль в LDAP надо проверять только через bind. Всё
остальное несёт риск компрометации. 

А разграничение доступа надо проводить при помощи фильтра (все
ldap-софтины умеют его задавать) по какому-нибудь атрибуту.
Подозреваю, уже есть такие готовые в одной из популярных схем.

Reply to:

Follow-Ups:
- Re: LDAP авторизация
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: LDAP авторизация
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>

References:
- Re: LDAP авторизация
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>

Prev by Date: Re: [SOLVED] Ограничение максимальной скорости по IP
Next by Date: Re: LDAP авторизация
Previous by thread: Re: LDAP авторизация
Next by thread: Re: LDAP авторизация
Index(es):
- Date
- Thread