Re: LDAP авторизация

To: debian-russian@lists.debian.org
Subject: Re: LDAP авторизация
From: Покотиленко Костик <casper@meteor.dp.ua>
Date: Fri, 01 Feb 2008 14:01:19 +0200
Message-id: <[🔎] 1201867279.5287.36.camel@casper2.meteor.dp.ua>
Reply-to: casper@meteor.dp.ua
In-reply-to: <[🔎] 1201863038.5287.20.camel@casper2.meteor.dp.ua>
References: <1201776047.5295.17.camel@casper2.meteor.dp.ua> <[🔎] 20080201103324.21ce890a@vice.lan> <[🔎] 20080201103137.GA1979123@badger.wapper.ru> <[🔎] 1201863038.5287.20.camel@casper2.meteor.dp.ua>

В Птн, 01/02/2008 в 12:50 +0200, Покотиленко Костик пишет:
> В Птн, 01/02/2008 в 13:31 +0300, Pavel Ammosov пишет:
> > On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov wrote:
> > > На Thu, 31 Jan 2008 12:40:47 +0200
> > > Покотиленко Костик <casper@meteor.dp.ua> записано:
> > > > На пальцах: пользователей с паролями в LDAP засовывать научился,
> > > > программы проверять это дело по LDAP тоже научил. Теперь представим
> > > > себе такую картину, что один пользователь в базе должен иметь доступ
> > > > к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать?
> > > Например так: для каждого сервиса почта, ssh, samba заводится
> > > отдельный objectClass (схему создаешь сам). И еще и разные поля для
> > > паролей используешь.
> > > 
> > > Ну и естественно сервисы должны работать не через pam или bind
> > > авторизацию, а логиниться в лдап по сервисному аккаунту и проверять
> > > пароль сами. 
> > 
> > Это вообще ерунда.  Пароль в LDAP надо проверять только через bind. Всё
> > остальное несёт риск компрометации. 
> > 
> > А разграничение доступа надо проводить при помощи фильтра (все
> > ldap-софтины умеют его задавать) по какому-нибудь атрибуту.
> > Подозреваю, уже есть такие готовые в одной из популярных схем.
> 
> У меня, кстати, возникали такие мысли, но я не был уверен, что правильно
> мыслю. То есть, получается, что пользователь в LDAP в стандартной
> ситуации это объект которому присвоены стандартные классы (posixAccount,
> shadowAccount, inetOrgPerson). И, в принципе, ничего не мешает присвоить
> пользователям, которым необходим доступ к SSH, например, класс
> sshAccount, к SMTP - smtpAccount, к POP - popAccount. А pam-файлах
> соответствующих сервисов прописать фильтры по наличию соответствующего
> класса.
> 
> У меня правильный ход мысли?
> 
> Хотя, я уже и так вижу, что этому помешает. В pam-файлах я не нашёл как
> ставить фильтры, их можно прописать в /etc/pam_ldap.conf, но он один на
> всех. Есть идеи?

Man'ы читать надо, блин. Есть такая конструкция, которую можно
использовать в /etc/pam.d/*:

account required pam_ldap.so config=/etc/pam_ldap_<имя сервиса>.conf

Так даже красиво.

-- 
Покотиленко Костик <casper@meteor.dp.ua>

Reply to:

Follow-Ups:
- Re: LDAP авторизация
  - From: Sergey Chumakov <yas@its.bsuir.edu.by>

References:
- Re: LDAP авторизация
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>
- Re: LDAP авторизация
  - From: Pavel Ammosov <apavel@wapper.ru>
- Re: LDAP авторизация
  - From: Покотиленко Костик <casper@meteor.dp.ua>

Prev by Date: Re: посоветуйте видеокарточку
Next by Date: Что-то сосёт интернет
Previous by thread: Re: LDAP авторизация
Next by thread: Re: LDAP авторизация
Index(es):
- Date
- Thread