Denis Feklushkin пишет:
On Fri, 09 Apr 2010 10:39:07 +0300 Игорь Чумак <i.chumak@generali.garant.ua> wrote:Denis Feklushkin пишет:On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак <i.chumak@generali.garant.ua> wrote:Добрый день!Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.htmlа зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю(это агитация за kerberos)access to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=upg,dc=com,dc=ua" write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо selfименно. после взлома одной машины унесут все хэши
За счет чего унесут, интересно? wiki:/# grep -v ^# /etc/libnss-ldap.conf |grep -v ^$ host 192.168.255.1 base dc=upg,dc=com,dc=ua uri ldap://192.168.255.1 ldap_version 3 port 389 scope sub pam_check_host_attr yes wiki:/# grep -v ^# /etc/ldap/ldap.conf |grep -v ^$ HOST 192.168.255.1 BASE dc=upg,dc=com.dc=ua URI ldap://192.168.255.1:389 wiki:/# grep -v ^# /etc/pam_ldap.conf |grep -v ^$ base dc=upg,dc=com,dc=ua uri ldap://192.168.255.1/ ldap_version 3 pam_check_host_attr yes pam_password cryptВ конфигах _нигде_ нет никаких паролей (хотя в хауту 10-летней давности и рекомендуют заводить некоторого прокси-юзера, умеющего читать все пароли).