Re: LDAP авторизация && password policy

To: debian-russian@lists.debian.org
Subject: Re: LDAP авторизация && password policy
From: Denis Feklushkin <denis.feklushkin@gmail.com>
Date: Sat, 17 Apr 2010 01:40:15 +0800
Message-id: <[🔎] 20100417014015.628b94c4@db.h-----g.com>
In-reply-to: <[🔎] 4BC89D51.70305@gmail.com>
References: <[🔎] 4BBD8463.7080009@generali.garant.ua> <[🔎] 20100409143334.2d2481e7@db.h-----g.com> <[🔎] 4BBED99B.1070608@generali.garant.ua> <[🔎] 20100410002431.3b92e178@db.h-----g.com> <[🔎] 4BC89D51.70305@gmail.com>

On Fri, 16 Apr 2010 20:24:33 +0300
Игорь Чумак <ichumak2008@gmail.com> wrote:

> Denis Feklushkin пишет:
> > On Fri, 09 Apr 2010 10:39:07 +0300
> > Игорь Чумак <i.chumak@generali.garant.ua> wrote:
> >
> >   
> >> Denis Feklushkin пишет:
> >>     
> >>> On Thu, 08 Apr 2010 10:23:15 +0300
> >>> Игорь Чумак <i.chumak@generali.garant.ua> wrote:
> >>>
> >>>   
> >>>       
> >>>> Добрый день!
> >>>>
> >>>> Настроил авторизацию по предложенной схеме: 
> >>>> http://www.opennet.ru/base/net/debian_ldap_install1.txt.html
> >>>>     
> >>>>         
> >>> а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю
> >>>
> >>> (это агитация за kerberos) 
> >>>
> >>>
> >>>   
> >>>       
> >> access to attrs=userPassword,shadowLastChange
> >>         by dn="cn=admin,dc=upg,dc=com,dc=ua" write
> >>         by anonymous auth
> >>         by self write
> >>         by * none
> >>
> >> Хеш пароля может унесть либо админ, либо self
> >>     
> >
> > именно. после взлома одной машины унесут все хэши
> >
> >   
> За счет чего унесут, интересно?
> wiki:/# grep -v ^# /etc/libnss-ldap.conf |grep -v ^$
> host 192.168.255.1
> base dc=upg,dc=com,dc=ua
> uri ldap://192.168.255.1
> ldap_version 3
> port 389
> scope sub
> pam_check_host_attr yes
> 
> wiki:/# grep -v ^# /etc/ldap/ldap.conf |grep -v ^$
> HOST 192.168.255.1
> BASE    dc=upg,dc=com.dc=ua
> URI     ldap://192.168.255.1:389
> 
> wiki:/# grep -v ^# /etc/pam_ldap.conf |grep -v ^$
> base dc=upg,dc=com,dc=ua
> uri ldap://192.168.255.1/
> ldap_version 3
> pam_check_host_attr yes
> pam_password crypt
> 
> В конфигах _нигде_ нет никаких паролей (хотя в хауту 10-летней давности 
> и рекомендуют заводить некоторого прокси-юзера, умеющего читать все пароли).

как работает pam ldap? он получает хэш пароля из ldap и сравнивает его с получившимся их введённого пароля хэшем?

Reply to:

Follow-Ups:
- Re: LDAP авторизация && password policy
  - From: Pavel Ammosov <apavel@wapper.ru>

References:
- LDAP авторизация && password policy
  - From: Игорь Чумак <i.chumak@generali.garant.ua>
- Re: LDAP авторизация && password policy
  - From: Denis Feklushkin <denis.feklushkin@gmail.com>
- Re: LDAP авторизация && password policy
  - From: Игорь Чумак <i.chumak@generali.garant.ua>
- Re: LDAP авторизация && password policy
  - From: Denis Feklushkin <denis.feklushkin@gmail.com>
- Re: LDAP авторизация && password policy
  - From: Игорь Чумак <ichumak2008@gmail.com>

Prev by Date: Re: eeepc 1005 PE
Next by Date: Re: clamav 0.94.x now die.
Previous by thread: Re: LDAP авторизация && password policy
Next by thread: Re: LDAP авторизация && password policy
Index(es):
- Date
- Thread