Fri, 1 Feb 2008 13:31:37 +0300 Pavel Ammosov <[EMAIL PROTECTED]> wrote:
PA> On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov PA> wrote: PA> > На Thu, 31 Jan 2008 12:40:47 +0200 PA> > Покотиленко Костик <[EMAIL PROTECTED]> записано: PA> > > На пальцах: пользователей с паролями в LDAP засовывать научился, PA> > > программы проверять это дело по LDAP тоже научил. Теперь PA> > > представим себе такую картину, что один пользователь в базе PA> > > должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к PA> > > SMTP, POP. Как такое сделать? PA> > Например так: для каждого сервиса почта, ssh, samba заводится PA> > отдельный objectClass (схему создаешь сам). И еще и разные поля PA> > для паролей используешь. PA> > PA> > Ну и естественно сервисы должны работать не через pam или bind PA> > авторизацию, а логиниться в лдап по сервисному аккаунту и PA> > проверять пароль сами. PA> PA> Это вообще ерунда. Пароль в LDAP надо проверять только через bind. PA> Всё остальное несёт риск компрометации. Где? Только в том месте, что взлом аккаунта почтового демона даст тебе smd5. Да это цена, которую приходится платить. PA> А разграничение доступа надо проводить при помощи фильтра (все PA> ldap-софтины умеют его задавать) по какому-нибудь атрибуту. PA> Подозреваю, уже есть такие готовые в одной из популярных схем. Угу, расскажи, пожалуйста, как развести пароли на ftp, ssh и webMail если авторизация идет bind'ом. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail: [EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]