On Fri, 16 Apr 2010 20:24:33 +0300 Игорь Чумак <ichumak2...@gmail.com> wrote:
> Denis Feklushkin пишет: > > On Fri, 09 Apr 2010 10:39:07 +0300 > > Игорь Чумак <i.chu...@generali.garant.ua> wrote: > > > > > >> Denis Feklushkin пишет: > >> > >>> On Thu, 08 Apr 2010 10:23:15 +0300 > >>> Игорь Чумак <i.chu...@generali.garant.ua> wrote: > >>> > >>> > >>> > >>>> Добрый день! > >>>> > >>>> Настроил авторизацию по предложенной схеме: > >>>> http://www.opennet.ru/base/net/debian_ldap_install1.txt.html > >>>> > >>>> > >>> а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора > >>> же, на сколько я понимаю > >>> > >>> (это агитация за kerberos) > >>> > >>> > >>> > >>> > >> access to attrs=userPassword,shadowLastChange > >> by dn="cn=admin,dc=upg,dc=com,dc=ua" write > >> by anonymous auth > >> by self write > >> by * none > >> > >> Хеш пароля может унесть либо админ, либо self > >> > > > > именно. после взлома одной машины унесут все хэши > > > > > За счет чего унесут, интересно? > wiki:/# grep -v ^# /etc/libnss-ldap.conf |grep -v ^$ > host 192.168.255.1 > base dc=upg,dc=com,dc=ua > uri ldap://192.168.255.1 > ldap_version 3 > port 389 > scope sub > pam_check_host_attr yes > > wiki:/# grep -v ^# /etc/ldap/ldap.conf |grep -v ^$ > HOST 192.168.255.1 > BASE dc=upg,dc=com.dc=ua > URI ldap://192.168.255.1:389 > > wiki:/# grep -v ^# /etc/pam_ldap.conf |grep -v ^$ > base dc=upg,dc=com,dc=ua > uri ldap://192.168.255.1/ > ldap_version 3 > pam_check_host_attr yes > pam_password crypt > > В конфигах _нигде_ нет никаких паролей (хотя в хауту 10-летней давности > и рекомендуют заводить некоторого прокси-юзера, умеющего читать все пароли). как работает pam ldap? он получает хэш пароля из ldap и сравнивает его с получившимся их введённого пароля хэшем? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100417014015.628b9...@db.h-----g.com