Denis Feklushkin пишет:
On Fri, 09 Apr 2010 10:39:07 +0300 Игорь Чумак <i.chumak@generali.garant.ua> wrote:Denis Feklushkin пишет:On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак <i.chumak@generali.garant.ua> wrote:Добрый день!Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.htmlа зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю(это агитация за kerberos)access to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=upg,dc=com,dc=ua" write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо selfименно. после взлома одной машины унесут все хэши
После взлома == получивши root и прочитавши /etc/libnss-ldap.secret ? Пожалуй, это будет полное ЖО :(Унесут хеши - флаг в руки, даже 6-значный пароль подбирается долго. Но пароль админа - это полный доступ к базе..
С другой стороны, на кой нужен параметр rootbinddn в /etc/libnss-ldap.conf - я так и не понял. Без него авторизация тоже работает, а унести можно будет только хеш _своего_ пароля.