Re: LDAP авторизация
Fri, 1 Feb 2008 13:31:37 +0300
Pavel Ammosov <apavel@wapper.ru> wrote:
PA> On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov
PA> wrote:
PA> > На Thu, 31 Jan 2008 12:40:47 +0200
PA> > Покотиленко Костик <casper@meteor.dp.ua> записано:
PA> > > На пальцах: пользователей с паролями в LDAP засовывать научился,
PA> > > программы проверять это дело по LDAP тоже научил. Теперь
PA> > > представим себе такую картину, что один пользователь в базе
PA> > > должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к
PA> > > SMTP, POP. Как такое сделать?
PA> > Например так: для каждого сервиса почта, ssh, samba заводится
PA> > отдельный objectClass (схему создаешь сам). И еще и разные поля
PA> > для паролей используешь.
PA> >
PA> > Ну и естественно сервисы должны работать не через pam или bind
PA> > авторизацию, а логиниться в лдап по сервисному аккаунту и
PA> > проверять пароль сами.
PA>
PA> Это вообще ерунда. Пароль в LDAP надо проверять только через bind.
PA> Всё остальное несёт риск компрометации.
Где? Только в том месте, что взлом аккаунта почтового демона даст тебе
smd5. Да это цена, которую приходится платить.
PA> А разграничение доступа надо проводить при помощи фильтра (все
PA> ldap-софтины умеют его задавать) по какому-нибудь атрибуту.
PA> Подозреваю, уже есть такие готовые в одной из популярных схем.
Угу, расскажи, пожалуйста, как развести пароли на ftp, ssh и webMail
если авторизация идет bind'ом.
--
Best regards,
Alexander GQ Gerasiov
Contacts:
e-mail: gq@cs.msu.su Jabber: gq@jabber.ru
Homepage: http://gq.net.ru ICQ: 7272757
PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D
Reply to: