LDAP авторизация и членство в группах
Всех с ДСА ! ;)) Как бы подойти к такой задаче.. Есть несколько хостов, на которых настроена общая авторизация через LDAP. Все работает отлично, информация о UID-GID-членстве в группах берется из каталога. Поступила задача на _одном_ из хостов сделать отступление от этой схемы, а именно загнать всех пользователей в 1 группу (пусть будет users, gid=100). Как бы это сделать так, чтобы на прочих хостах ничего не сломалось? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c52df4c.9020...@gmail.com
ldap-авторизация и тормоза при загрузк е
Добрый день! В машинке с openvz настроена авторизация через общий ldap-каталог. Удобно. Но openvz-контейнеры теперь запускаются очень долго (около 10 мин). Есть подозрение, что все процессы теперь хотят получать UID/GID через ldap. Вопрос: как бы это пресечь? Или хотя бы отдиагностировать. Да, кстати, странность №2 getent возвращает по 2 записи (но моментально): getent passwd|grep root root:x:0:0:root:/root:/bin/bash root:x:0:0:root:/root:/bin/bash getent passwd|grep www-data www-data:x:33:33:www-data:/var/www:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh Одна из ldap, другая из /etc/passwd. Возможно, это как-то связано. # /etc/nsswitch.conf passwd: ldap compat group: ldap compat shadow: compat hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc:db files netgroup: nis #/etc/libnss-ldap.conf host 192.168.255.1 base dc=domain,dc=com,dc=ua uri ldap://192.168.255.1 ldap_version 3 port 389 scope sub pam_check_host_attr yes -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c0674be.4070...@gmail.com
Re: ldap-авторизация и тормоза при загруз ке
Alex Mestiashvili wrote: Игорь Чумак wrote: Добрый день! В машинке с openvz настроена авторизация через общий ldap-каталог. Удобно. Но openvz-контейнеры теперь запускаются очень долго (около 10 мин). Есть подозрение, что все процессы теперь хотят получать UID/GID через ldap. Вопрос: как бы это пресечь? Или хотя бы отдиагностировать. Да, кстати, странность №2 getent возвращает по 2 записи (но моментально): getent passwd|grep root root:x:0:0:root:/root:/bin/bash root:x:0:0:root:/root:/bin/bash getent passwd|grep www-data www-data:x:33:33:www-data:/var/www:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh Одна из ldap, другая из /etc/passwd. Возможно, это как-то связано. # /etc/nsswitch.conf passwd: ldap compat group: ldap compat shadow: compat hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc:db files netgroup: nis #/etc/libnss-ldap.conf host 192.168.255.1 base dc=domain,dc=com,dc=ua uri ldap://192.168.255.1 ldap_version 3 port 389 scope sub pam_check_host_attr yes a что root и в ldap есть ? я думал , что в ldap лучше держать аккаунты начиная так с uid 1000 ( а остальные для локальных юзеров ) и разумеется локальные просто так не должны пересекаться с LDAP . в /etc/nsswitch лучше иметь compat ldap тоесть локальные сначала , а затем ldap . Regards , Alex sorry в личку отправил . -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c0676ec.7060...@biotec.tu-dresden.de
Re: LDAP авторизация password policy
On Sat, 17 Apr 2010 01:05:14 +0400 Pavel Ammosov apa...@wapper.ru wrote: On Sat, Apr 17, 2010 at 01:40:15AM +0800, Denis Feklushkin wrote: как работает pam ldap? он получает хэш пароля из ldap и сравнивает его с получившимся их введённого пароля хэшем? Нет. Он берёт пароль пользователя и пытается с ним аутентифицироваться в LDAP, то есть выполнить операцию bind. а пароль криптуется чем перед посылкой? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100417212552.675cf...@db.h-g.com
Re: LDAP авторизация password policy
Denis Feklushkin пишет: On Fri, 09 Apr 2010 10:39:07 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Denis Feklushkin пишет: On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=upg,dc=com,dc=ua write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо self именно. после взлома одной машины унесут все хэши За счет чего унесут, интересно? wiki:/# grep -v ^# /etc/libnss-ldap.conf |grep -v ^$ host 192.168.255.1 base dc=upg,dc=com,dc=ua uri ldap://192.168.255.1 ldap_version 3 port 389 scope sub pam_check_host_attr yes wiki:/# grep -v ^# /etc/ldap/ldap.conf |grep -v ^$ HOST 192.168.255.1 BASEdc=upg,dc=com.dc=ua URI ldap://192.168.255.1:389 wiki:/# grep -v ^# /etc/pam_ldap.conf |grep -v ^$ base dc=upg,dc=com,dc=ua uri ldap://192.168.255.1/ ldap_version 3 pam_check_host_attr yes pam_password crypt В конфигах _нигде_ нет никаких паролей (хотя в хауту 10-летней давности и рекомендуют заводить некоторого прокси-юзера, умеющего читать все пароли). -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bc89d51.70...@gmail.com
Re: LDAP авторизация password policy
On Fri, 16 Apr 2010 20:24:33 +0300 Игорь Чумак ichumak2...@gmail.com wrote: Denis Feklushkin пишет: On Fri, 09 Apr 2010 10:39:07 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Denis Feklushkin пишет: On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=upg,dc=com,dc=ua write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо self именно. после взлома одной машины унесут все хэши За счет чего унесут, интересно? wiki:/# grep -v ^# /etc/libnss-ldap.conf |grep -v ^$ host 192.168.255.1 base dc=upg,dc=com,dc=ua uri ldap://192.168.255.1 ldap_version 3 port 389 scope sub pam_check_host_attr yes wiki:/# grep -v ^# /etc/ldap/ldap.conf |grep -v ^$ HOST 192.168.255.1 BASEdc=upg,dc=com.dc=ua URI ldap://192.168.255.1:389 wiki:/# grep -v ^# /etc/pam_ldap.conf |grep -v ^$ base dc=upg,dc=com,dc=ua uri ldap://192.168.255.1/ ldap_version 3 pam_check_host_attr yes pam_password crypt В конфигах _нигде_ нет никаких паролей (хотя в хауту 10-летней давности и рекомендуют заводить некоторого прокси-юзера, умеющего читать все пароли). как работает pam ldap? он получает хэш пароля из ldap и сравнивает его с получившимся их введённого пароля хэшем? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100417014015.628b9...@db.h-g.com
Re: LDAP авторизация password policy
Denis Feklushkin пишет: On Fri, 09 Apr 2010 10:39:07 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Denis Feklushkin пишет: On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=upg,dc=com,dc=ua write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо self именно. после взлома одной машины унесут все хэши После взлома == получивши root и прочитавши /etc/libnss-ldap.secret ? Пожалуй, это будет полное ЖО :( Унесут хеши - флаг в руки, даже 6-значный пароль подбирается долго. Но пароль админа - это полный доступ к базе.. С другой стороны, на кой нужен параметр rootbinddn в /etc/libnss-ldap.conf - я так и не понял. Без него авторизация тоже работает, а унести можно будет только хеш _своего_ пароля. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bc2e545.7070...@generali.garant.ua
Re: LDAP авторизация password policy
On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100409143334.2d248...@db.h-g.com
Re: LDAP авторизация password policy
Denis Feklushkin пишет: On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=upg,dc=com,dc=ua write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо self -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bbed99b.1070...@generali.garant.ua
Re: LDAP авторизация password policy
On Fri, 09 Apr 2010 10:39:07 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Denis Feklushkin пишет: On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=upg,dc=com,dc=ua write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо self именно. после взлома одной машины унесут все хэши -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100410002431.3b92e...@db.h-g.com
LDAP авторизация password policy
Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html Всё отлично работает, но.. При попытке смены пароля происходит следующее: t...@ftp:~$ passwd Enter login(LDAP) password: (вводим текущий пароль) New password: 1234 Password too short New password: 12345 Password too short New password: 123456 Re-enter new password: 123456 LDAP password information changed for t2 passwd: password updated successfully Т.е. минимальная длина пароля = 6 и сложность пароля не проверяется. Хотелось бы знать, где это задается /etc/pam.d/common-password password sufficient pam_ldap.so password sufficient pam_unix.so use_authtok md5 password required pam_deny.so /etc/pam.d/common-auth auth sufficient pam_unix.so auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so /etc/pam.d/common-session session requiredpam_unix.so session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 /etc/pam.d/common-account account sufficient pam_unix.so account sufficient pam_ldap.so account required pam_deny.so Схема с password policy находится в /etc/ldap/schema/ppolicy.schema, но она не подключена. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bbd8463.7080...@generali.garant.ua
Re: LDAP авторизация
Pavel Ammosov - debian-russian@lists.debian.org @ Sun, 3 Feb 2008 23:33:27
+0300:
Ставит winscp и радуется жизни.
Плагин к FAR-у заметно более удобен
PA плагин для far, реализующий scp/sftp, можно скачать на сайте
PA winscp. Помимо прочих преимуществ, он может авторизоваться на ssh
PA ключами от pageant.
Имеется в виду преимущество по сравнению с чем? С Internet Explorer?
winscp тоже может, и даже носит pageant с собой.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Проявил себя?
Закрепи!
Кнышев
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Victor Wagner - debian-russian@lists.debian.org @ Sun, 3 Feb 2008 00:03:14
+0300:
SC Всегда думал о защищенном соединении. И совершенно забыл о
SC упомянутом интернет кафе. Да, согласен. Только с пользователями
SC проблема, они все равно будут пароли бить одни и те же, ааа
SC ... 123.
Защищенное соединение имеет смысл лишь постольку, поскольку человек,
который им пользуется, _понимает_ и соблюдает свою часть протокола.
Ситуация, когда он не понимает, но соблюдает, возможна (мы такое
делаем), но только в очень жестких условиях, напрочь исключающих не
то что интернет-кафе, но и домашний компьютер.
VW Поэтому альтернативой ftp является не scp/sftp, а webdav. Там
VW много больше возможностей проконтролировать действия пользователя
VW на стороне сервера (ибо http).
И больше возможностей взломать. Ибо все существующие веб-сервера,
способные реализовать DAV, дырявы как решето. Потому как вот тут уж
специалистов по безопасности даже не паслось, а система на порядок
сложнее.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Дуля со смещенным центром тяжести
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
sergio - debian-russian@lists.debian.org @ Mon, 04 Feb 2008 19:09:26 +0300:
VW Поэтому альтернативой ftp является не scp/sftp, а webdav. Там
VW много больше возможностей проконтролировать действия
VW пользователя на стороне сервера (ибо http).
И больше возможностей взломать. Ибо все существующие веб-сервера,
способные реализовать DAV, дырявы как решето. Потому как вот тут уж
специалистов по безопасности даже не паслось, а система на порядок
сложнее.
s те апач дыряв как решето?
Именно. Нет, статику анонимам он, вроде бы, отдает достаточно
секьюрно. А вот когда дело доходит до динамики и работы на прием...
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Рюмку взял - паяльник положил
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
sergio - debian-russian@lists.debian.org @ Mon, 04 Feb 2008 19:35:21 +0300:
s те апач дыряв как решето?
Именно. Нет, статику анонимам он, вроде бы, отдает достаточно
секьюрно. А вот когда дело доходит до динамики и работы на прием...
s и из чего же следует такое умозаключение? ну мне просто интересно,
s почему ты так решил.
По опыту.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Правки Белявского, сделанные им в рабочей копии головы
-- Из коммитлога.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Иван Лох - debian-russian@lists.debian.org @ Mon, 4 Feb 2008 19:48:05 +0300:
s те апач дыряв как решето?
Именно. Нет, статику анонимам он, вроде бы, отдает достаточно
секьюрно. А вот когда дело доходит до динамики и работы на прием...
ИЛ Если мы договоримся, что статику не-анонимам он тоже может отдавать
ИЛ секьюрно, то мне, почему-то, и за WebDAV станет более-менее
ИЛ спокойно ;-}
Во-первых, это если договоримся. А во-вторых, мне и в этом случае
будет, мягко говоря, не очевидно. Работа на прием подразумевает не
только авторизацию, но и изменение локальной системы.
ИЛ Насчет того, что авторы бесчисленных серверов FTP прошли роскошный
ИЛ путь по граблям... так это потому, что на заре FTP о безопасности
ИЛ как-то слабо думали (если это не опасность ядерного взрыва,
ИЛ конечно). Модули же WebDAV из апача, разрабатывались в несколько
ИЛ другое время, в более агрессивном окружении, поэтому граблей почти
ИЛ и нет.
Не знааю... Видел я пару апачевских модулей глазами... Да,
разрабатывавшихся уже в более агрессивном окружении. Вот года три в
_интенсивном_ использовании mod_dav покрутится - будем посмотреть...
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Save the environment. Create a closure today.
-- Cormac Flanagan
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Mon, Feb 04, 2008 at 12:44:32PM +0300, Artem Chuprina wrote: Pavel Ammosov - debian-russian@lists.debian.org @ Sun, 3 Feb 2008 23:33:27 +0300: Ставит winscp и радуется жизни. Плагин к FAR-у заметно более удобен PA плагин для far, реализующий scp/sftp, можно скачать на сайте PA winscp. Помимо прочих преимуществ, он может авторизоваться на ssh PA ключами от pageant. Имеется в виду преимущество по сравнению с чем? С Internet Explorer? По сравнению с ftp, использование которого обычно приводит к тому, что на сохраняются пароли и явки к серверам ftp. Широко известна летняя история с РБК и распространением вирусов-червяков-троянов. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Mon, Feb 04, 2008 at 08:01:54PM +0300, Artem Chuprina wrote: ИЛ Если мы договоримся, что статику не-анонимам он тоже может отдавать ИЛ секьюрно, то мне, почему-то, и за WebDAV станет более-менее ИЛ спокойно ;-} Во-первых, это если договоримся. А во-вторых, мне и в этом случае будет, мягко говоря, не очевидно. Работа на прием подразумевает не только авторизацию, но и изменение локальной системы. Это так. Но, во-первых, там есть буква V, а, во-вторых, право на DELETE и MOVE давать вовсе не обязательно. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Pavel Ammosov - debian-russian@lists.debian.org @ Mon, 4 Feb 2008 18:47:11
+0300:
Ставит winscp и радуется жизни.
Плагин к FAR-у заметно более удобен
PA плагин для far, реализующий scp/sftp, можно скачать на сайте
PA winscp. Помимо прочих преимуществ, он может авторизоваться на ssh
PA ключами от pageant.
Имеется в виду преимущество по сравнению с чем? С Internet Explorer?
PA По сравнению с ftp, использование которого обычно приводит к тому,
PA что на сохраняются пароли и явки к серверам ftp.
Ааа... Видишь ли, человеку, который способен справиться с pageant, я
обычно не стремаюсь и шелл дать. Ну, то есть либо я его вообще на
машину не пущу, ибо сломает нах, либо пущу, потому что и сам не сломает,
и хакерам ручки от машины не даст. Впрочем, есть один человек, который
справится, но которому я шелл не дам. А ftp дам. Потому что
подозреваю, что если захочет, scponly его не остановит... А с vsftpd он
вряд ли справится...
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Если руки растут из @#$#, то это ноги
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Mon, Feb 04, 2008 at 07:22:26PM +0300, Artem Chuprina wrote: s те апач дыряв как решето? Именно. Нет, статику анонимам он, вроде бы, отдает достаточно секьюрно. А вот когда дело доходит до динамики и работы на прием... Если мы договоримся, что статику не-анонимам он тоже может отдавать секьюрно, то мне, почему-то, и за WebDAV станет более-менее спокойно ;-} Насчет того, что авторы бесчисленных серверов FTP прошли роскошный путь по граблям... так это потому, что на заре FTP о безопасности как-то слабо думали (если это не опасность ядерного взрыва, конечно). Модули же WebDAV из апача, разрабатывались в несколько другое время, в более агрессивном окружении, поэтому граблей почти и нет. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Artem Chuprina wrote: sergio - debian-russian@lists.debian.org @ Mon, 04 Feb 2008 19:09:26 +0300: s те апач дыряв как решето? Именно. Нет, статику анонимам он, вроде бы, отдает достаточно секьюрно. А вот когда дело доходит до динамики и работы на прием... и из чего же следует такое умозаключение? ну мне просто интересно, почему ты так решил. -- sergio. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On 2008.02.04 at 20:01:54 +0300, Artem Chuprina wrote: Не знааю... Видел я пару апачевских модулей глазами... Да, Когда это было? В прошлом веке или все-таки уже в этом? Что-то я не помню чтобы во времена, когда уже существовал APR ты активно мучал apache. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Victor Wagner - debian-russian@lists.debian.org @ Tue, 5 Feb 2008 09:42:36
+0300:
Не знааю... Видел я пару апачевских модулей глазами... Да,
VW Когда это было? В прошлом веке или все-таки уже в этом? Что-то я не
VW помню чтобы во времена, когда уже существовал APR ты активно мучал
VW apache.
В этом. mod_auth_pgsql, помнится, особенно порадовал...
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
hands-free BSD
-- (С)энта
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Sat, Feb 02, 2008 at 11:55:14PM +0200, Dmitry Nezhevenko wrote: On Sun, Feb 03, 2008 at 12:21:42AM +0300, ph wrote: Ставит winscp и радуется жизни. Плагин к FAR-у заметно более удобен плагин для far, реализующий scp/sftp, можно скачать на сайте winscp. Помимо прочих преимуществ, он может авторизоваться на ssh ключами от pageant. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Sun, Feb 03, 2008 at 12:03:14AM +0300, Victor Wagner wrote: Поэтому альтернативой ftp является не scp/sftp, а webdav. Там много больше возможностей проконтролировать действия пользователя на стороне сервера (ибо http). А клиент встроен в винду. Только вот сервера, обладающего эквивалентным функционалом ftp для webdav нет. Под требуемыми возможностми я понимаю: проверку пароля в pam и сторонних базах, setuid и chroot в его домашний каталог. По идее, реализация всего этого на базе одного из существующих ftp-серверов (pure,vs,pro-ftdpd) не выглядит сложной, но мне лениво. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Sergey Chumakov - debian-russian@lists.debian.org @ Sat, 2 Feb 2008 09:34:19
+0200:
ma не имеет. кто-то еще пользуется ftp при наличии ssh|scp|sftp,
ma иначе как для анонимного доступа?
Да. Осознание, почему, оставляется читателю в качестве домашнего
упражнения.
SC Мне кажется, что поддержка ftp/telnet и пр. не будет необходимой и
SC первоочередной.
А если подумать? Именно про ftp?
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Может, тебе еще секретный ключ от шкатулки с сильмариллами?
(С)энта
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
mitrohin a.s. wrote: не имеет. кто-то еще пользуется ftp при наличии ssh|scp|sftp, иначе как для анонимного доступа? Пользуюсь постоянно. ftp получается быстрее. -- WBR, Oleg Gashev. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Hi Artem, * Artem Chuprina [EMAIL PROTECTED] * 2008-02-02 11:21: SC первоочередной. А если подумать? Именно про ftp? Долго думал. Ну нету у меня его нигде :) Не нужен. Был анонимный для свалки, снес, потому что хватает http. tftp есть - запускаю чтоб сбросить конфиг циски. Всегда думал о защищенном соединении. И совершенно забыл о упомянутом интернет кафе. Да, согласен. Только с пользователями проблема, они все равно будут пароли бить одни и те же, ааа ... 123. -- Best regards, Sergey Chumakov 2:450/77[.43] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Создавайте группы в LDAP для каждого сервиса и добавляйте туда кого нужно. Далее: auth sufficient pam_ldap.so config=//ldap-ssh.conf ldap-ssh.conf: pam_groupdn cn=ssh,ou=groups,dc=example,dc=com pam_member_attribute memberuid Покотиленко Костик пишет: С LDAP немного разобрался. Начали возникать идеи по внедрению. Итак, как с помощью LDAP сделать идентификацию и аутентификацию понятно. Не совсем понятно как с его помощью сделать авторизацию. На пальцах: пользователей с паролями в LDAP засовывать научился, программы проверять это дело по LDAP тоже научил. Теперь представим себе такую картину, что один пользователь в базе должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
На Sat, 2 Feb 2008 11:56:41 +0200 Sergey Chumakov [EMAIL PROTECTED] записано: Всегда думал о защищенном соединении. И совершенно забыл о упомянутом интернет кафе. Да, согласен. Только с пользователями проблема, они все равно будут пароли бить одни и те же, ааа ... 123. cracklib, ну и проверка, что пароль для сервиса не совпадает с основным. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D signature.asc Description: PGP signature
Re: LDAP авторизация
On Sat, Feb 02, 2008 at 08:22:46AM +0300, Victor Chukhantsev wrote: Не хочется тебя расстраивать, но например на Solaris до сих пор еще telnet по умолчанию идет. Нет, не идёт. Начиная с 10u2 спрашивают при инсталляции и только в случае положительного ответа ставят всю эту фигню, включая r-сервисы и прочий RPC. Аналогичный параметр есть и для sysidcfg -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Fri, Feb 01, 2008 at 05:32:16PM +0300, Alexander GQ Gerasiov wrote: Fri, 1 Feb 2008 16:53:02 +0300 Pavel Ammosov [EMAIL PROTECTED] wrote: Задача иметь разные пароли у одного аккаунта не постулировалась. Ты невнимательно читал предложенное мной. Там это оговаривалось. И я не уверен, что такая задача имеет достаточно смысла для её реализации. А я так наоборот уверен. Утечка пароля от вебмейла через кейлоггер в Всё что это даст - повышенную нагрузку на хелпдеск по ресету паролей. Его сотруники проклянут такую систему. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Hi Alexander, * Alexander GQ Gerasiov [EMAIL PROTECTED] * 2008-02-02 13:42: все равно будут пароли бить одни и те же, ааа ... 123. cracklib, ну и проверка, что пароль для сервиса не совпадает с основным. Который основной то пароль? И это для умных. А для пользователей ПК? Я не вижу никакой технической проблемы придумать множественные сложные варианты ограничения доступа. Вопрос зачем? Они все в любом случае будут несовершенны. -- Best regards, Sergey Chumakov 2:450/77[.43] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
На Sat, 2 Feb 2008 14:51:15 +0300 Pavel Ammosov [EMAIL PROTECTED] записано: On Fri, Feb 01, 2008 at 05:32:16PM +0300, Alexander GQ Gerasiov wrote: Fri, 1 Feb 2008 16:53:02 +0300 Pavel Ammosov [EMAIL PROTECTED] wrote: Задача иметь разные пароли у одного аккаунта не постулировалась. Ты невнимательно читал предложенное мной. Там это оговаривалось. И я не уверен, что такая задача имеет достаточно смысла для её реализации. А я так наоборот уверен. Утечка пароля от вебмейла через кейлоггер в Всё что это даст - повышенную нагрузку на хелпдеск по ресету паролей. Его сотруники проклянут такую систему. Это серьезный аргумент в вопросе безопасности. :) А вообще, у пользователя есть мастер-пароль под которым он может забиндиться в лдап и поменять любой из своих паролей. И ресетить хелпдеск должен только этот пароль. Что ничем не отличается от ситуации с единым паролем на все сервисы. Кстати, как я тут обнаружил, в стриме используют ровно такую практику - есть пароль к личному кабинету, а оттуда можно задавать пароли для различных подключенных сервисов. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D signature.asc Description: PGP signature
Re: LDAP авторизация
Sergey Chumakov - debian-russian@lists.debian.org @ Sat, 2 Feb 2008 11:56:41
+0200:
SC первоочередной.
А если подумать? Именно про ftp?
SC Долго думал. Ну нету у меня его нигде :) Не нужен. Был анонимный
SC для свалки, снес, потому что хватает http. tftp есть - запускаю
SC чтоб сбросить конфиг циски.
SC Всегда думал о защищенном соединении. И совершенно забыл о
SC упомянутом интернет кафе. Да, согласен. Только с пользователями
SC проблема, они все равно будут пароли бить одни и те же, ааа
SC ... 123.
Защищенное соединение имеет смысл лишь постольку, поскольку человек,
который им пользуется, _понимает_ и соблюдает свою часть протокола.
Ситуация, когда он не понимает, но соблюдает, возможна (мы такое
делаем), но только в очень жестких условиях, напрочь исключающих не то
что интернет-кафе, но и домашний компьютер.
А если он этого не понимает, то в лучшем случае мы от защищенного
соединения получаем иллюзию безопасности (SSL, VPN) без ухудшения ее по
сравнению с незащищенным соединением, а в худшем - проигрыш по
безопасности по сравнению с ftp (scp/sftp). Второе - потому что авторы
ftp-серверов уже прошлись по всем соответствующим граблям, а авторы ssh,
который архитектурно совершенно не предназначен для ограниченного
доступа - еще нет.
Когда человеку нужен шелл, он обычно обладает достаточной квалификацией
для понимания своей части протокола безопасности. А типичный человек,
которому нужно файлы из дома в офис гонять - нет.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Hi Artem, * Artem Chuprina [EMAIL PROTECTED] * 2008-02-02 15:11: Когда человеку нужен шелл, он обычно обладает достаточной квалификацией для понимания своей части протокола безопасности. А типичный человек, которому нужно файлы из дома в офис гонять - нет. Кажется я понял, пересказать правда пока своими словами не смогу :) Спасибо! -- Best regards, Sergey Chumakov 2:450/77[.43] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Nick Phoenix - debian-russian @ Sat, 02 Feb 2008 14:15:28 +0300: NP Создавайте группы в LDAP для каждого сервиса и добавляйте туда кого NP нужно. Далее: А чем плох pam_check_service_attr=yes? -- .''`. Kirill A. Korinskiy [EMAIL PROTECTED] : :' : proud (maniac)? (developer|hacker) `. `'` http://catap.ru/ - +7 (916) 3-604-704 - xmpp:[EMAIL PROTECTED] `- Debian - when you have better things to do than fixing systems -- madduck -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Особо ничем. Просто, честно говоря, не видел удобной программы для управления атрибутом authorizedService, а для управлениями группами их достаточно много. Kirill A. Korinskiy пишет: Nick Phoenix - debian-russian @ Sat, 02 Feb 2008 14:15:28 +0300: NP Создавайте группы в LDAP для каждого сервиса и добавляйте туда кого NP нужно. Далее: А чем плох pam_check_service_attr=yes? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Nick Phoenix - debian-russian@lists.debian.org @ Sat, 02 Feb 2008 18:37:34 +0300: NP Особо ничем. Просто, честно говоря, не видел удобной программы для NP управления атрибутом authorizedService, а для управлениями группами их NP достаточно много. Просто pam_check_service_attr делает меньше настоек от шаблонных (в контексте debian точно). А что касается программ. То знаешь, мне как-то в голову не лезет ничего удобного для работы с ldap :) -- .''`. Kirill A. Korinskiy [EMAIL PROTECTED] : :' : proud (maniac)? (developer|hacker) `. `'` http://catap.ru/ - +7 (916) 3-604-704 - xmpp:[EMAIL PROTECTED] `- Debian - when you have better things to do than fixing systems -- madduck -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On 2008.02.02 at 16:06:46 +0300, Artem Chuprina wrote: SC Всегда думал о защищенном соединении. И совершенно забыл о SC упомянутом интернет кафе. Да, согласен. Только с пользователями SC проблема, они все равно будут пароли бить одни и те же, ааа SC ... 123. Защищенное соединение имеет смысл лишь постольку, поскольку человек, который им пользуется, _понимает_ и соблюдает свою часть протокола. Ситуация, когда он не понимает, но соблюдает, возможна (мы такое делаем), но только в очень жестких условиях, напрочь исключающих не то что интернет-кафе, но и домашний компьютер. Поэтому альтернативой ftp является не scp/sftp, а webdav. Там много больше возможностей проконтролировать действия пользователя на стороне сервера (ибо http). А клиент встроен в винду. В принципе, если юзер кой-чего понимает, можно и SSL использовать. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Sun, Feb 03, 2008 at 12:21:42AM +0300, ph wrote: Ставит winscp и радуется жизни. Плагин к FAR-у заметно более удобен Или вообще :) Пусть флэшку использует:) Ага.. и по почте ее слать :) P.S. если кому-то эта тема интересна - тут всё на пальцах: http://en.wikipedia.org/wiki/FTP#Criticisms_of_FTP Сюда же: FTP-сервер список файлов может отдавать в каком угодно виде. И задача распарсить это все лежит на клиенте. -- WBR, Dmitry signature.asc Description: Digital signature
Re: LDAP авторизация
На Sun, 3 Feb 2008 00:21:42 +0300 ph [EMAIL PROTECTED] записано: обладает достаточной квалификацией для понимания своей части протокола безопасности. Действительно, великолепный каламбур :) Целых 9 слов, причем не самых коротких:) Вроде они как будто даже связанные между собой) Но смысл, наверное, навсегда утерян, в других частях протокола) Если ты не понимаешь смысл - это не значит, что его нет. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D signature.asc Description: PGP signature
Re: LDAP авторизация
On Sun, Feb 03, 2008 at 02:49:07AM +0300, ph wrote: On 02-Feb-2008, Dmitry Nezhevenko wrote: Плагин к FAR-у заметно более удобен Ну это по вкусу. Для ностальгирующих по IBM PC AT, можно поставить из cygwin mc - там оно из коробки будет:) Сюда же: FTP-сервер список файлов может отдавать в каком угодно виде. И задача распарсить это все лежит на клиенте. LIST - это команда для пользователей, а не для программ(хотя обычно, это вывод ls -l, который зафиксирован в POSIX). _обычно_, что на самом деле далеко не всегда. Для программистов есть команда NLST - она выдает просто список имен, без доп.инфы. Плавали, знаем. Если нужно просто скачать/закинуть файл, то NLST не нужнен вообще. Если написать нечто напоминающее интерактивный FTP клиент, парсить вывод LIST таки приходится. Есть еще команда STAT, которой тоже можно получить filelist, но там аналогичные проблемы. Всё есть в RFC. В rfc959, на сколько я помню, даже нет рекоммендации использовать формат ls -l. PS. Я подписан на рассылку. -- WBR, Dmitry signature.asc Description: Digital signature
Re: LDAP авторизация
В Птн, 01/02/2008 в 13:31 +0300, Pavel Ammosov пишет: On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov wrote: На Thu, 31 Jan 2008 12:40:47 +0200 Покотиленко Костик [EMAIL PROTECTED] записано: На пальцах: пользователей с паролями в LDAP засовывать научился, программы проверять это дело по LDAP тоже научил. Теперь представим себе такую картину, что один пользователь в базе должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? Например так: для каждого сервиса почта, ssh, samba заводится отдельный objectClass (схему создаешь сам). И еще и разные поля для паролей используешь. Ну и естественно сервисы должны работать не через pam или bind авторизацию, а логиниться в лдап по сервисному аккаунту и проверять пароль сами. Это вообще ерунда. Пароль в LDAP надо проверять только через bind. Всё остальное несёт риск компрометации. А разграничение доступа надо проводить при помощи фильтра (все ldap-софтины умеют его задавать) по какому-нибудь атрибуту. Подозреваю, уже есть такие готовые в одной из популярных схем. У меня, кстати, возникали такие мысли, но я не был уверен, что правильно мыслю. То есть, получается, что пользователь в LDAP в стандартной ситуации это объект которому присвоены стандартные классы (posixAccount, shadowAccount, inetOrgPerson). И, в принципе, ничего не мешает присвоить пользователям, которым необходим доступ к SSH, например, класс sshAccount, к SMTP - smtpAccount, к POP - popAccount. А pam-файлах соответствующих сервисов прописать фильтры по наличию соответствующего класса. У меня правильный ход мысли? Хотя, я уже и так вижу, что этому помешает. В pam-файлах я не нашёл как ставить фильтры, их можно прописать в /etc/pam_ldap.conf, но он один на всех. Есть идеи? -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov wrote: На Thu, 31 Jan 2008 12:40:47 +0200 Покотиленко Костик [EMAIL PROTECTED] записано: На пальцах: пользователей с паролями в LDAP засовывать научился, программы проверять это дело по LDAP тоже научил. Теперь представим себе такую картину, что один пользователь в базе должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? Например так: для каждого сервиса почта, ssh, samba заводится отдельный objectClass (схему создаешь сам). И еще и разные поля для паролей используешь. Ну и естественно сервисы должны работать не через pam или bind авторизацию, а логиниться в лдап по сервисному аккаунту и проверять пароль сами. Это вообще ерунда. Пароль в LDAP надо проверять только через bind. Всё остальное несёт риск компрометации. А разграничение доступа надо проводить при помощи фильтра (все ldap-софтины умеют его задавать) по какому-нибудь атрибуту. Подозреваю, уже есть такие готовые в одной из популярных схем. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Pavel Ammosov - debian-russian@lists.debian.org @ Fri, 1 Feb 2008 16:53:02
+0300:
Где? Только в том месте, что взлом аккаунта почтового демона даст
тебе smd5. Да это цена, которую приходится платить. Угу, расскажи,
пожалуйста, как развести пароли на ftp, ssh и webMail если
авторизация идет bind'ом.
PA Задача иметь разные пароли у одного аккаунта не постулировалась. И
PA я не уверен, что такая задача имеет достаточно смысла для её
PA реализации.
Имеет. Пароли для ftp и ssh однозначно следует разводить, если
ssh-доступ по паролю разрешен. То же касается webmail, если доступ к
оному webmail - только по SSL/TLS.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
An ideal world is left as an exercise to the reader.
Paul Graham, On Lisp
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Fri, Feb 01, 2008 at 04:39:47PM +0300, Alexander GQ Gerasiov wrote: Где? Только в том месте, что взлом аккаунта почтового демона даст тебе smd5. Да это цена, которую приходится платить. Угу, расскажи, пожалуйста, как развести пароли на ftp, ssh и webMail если авторизация идет bind'ом. Задача иметь разные пароли у одного аккаунта не постулировалась. И я не уверен, что такая задача имеет достаточно смысла для её реализации. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Hi Покотиленко, * Покотиленко Костик [EMAIL PROTECTED] * 2008-02-01 14:07: Man'ы читать надо, блин. Есть такая конструкция, которую можно использовать в /etc/pam.d/*: account required pam_ldap.so config=/etc/pam_ldap_имя сервиса.conf Так даже красиво. Кажется есть еще красивее (я не пробовал, у меня libnss_ldap) /etc/pam_ldap.conf # Check the 'host' attribute for access control # Default is no; if set to yes, and user has no # value for the host attribute, and pam_ldap is # configured for account management (authorization) # then the user will not be allowed to login. #pam_check_host_attr yes # Check the 'authorizedService' attribute for access # control # Default is no; if set to yes, and the user has no # value for the authorizedService attribute, and # pam_ldap is configured for account management # (authorization) then the user will not be allowed # to login. #pam_check_service_attr yes -- Best regards, Sergey Chumakov 2:450/77[.43] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Fri, 1 Feb 2008 16:53:02 +0300 Pavel Ammosov [EMAIL PROTECTED] wrote: On Fri, Feb 01, 2008 at 04:39:47PM +0300, Alexander GQ Gerasiov wrote: Где? Только в том месте, что взлом аккаунта почтового демона даст тебе smd5. Да это цена, которую приходится платить. Угу, расскажи, пожалуйста, как развести пароли на ftp, ssh и webMail если авторизация идет bind'ом. Задача иметь разные пароли у одного аккаунта не постулировалась. Ты невнимательно читал предложенное мной. Там это оговаривалось. И я не уверен, что такая задача имеет достаточно смысла для её реализации. А я так наоборот уверен. Утечка пароля от вебмейла через кейлоггер в интернет-кафе даст злоумышленнику доступ только для почты пользователя. Если этот пароль подойдет к ssh-аккаунту сервера приложений, то утечет еще очень много чего интересного, хранящегося в домашнем каталоге этого пользователя и, что важнее, в каталогах других пользователей. Это уж не говоря об абсурдности использования одинакового пароля на ftp и ssh доступ. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Fri, 1 Feb 2008 13:31:37 +0300 Pavel Ammosov [EMAIL PROTECTED] wrote: PA On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov PA wrote: PA На Thu, 31 Jan 2008 12:40:47 +0200 PA Покотиленко Костик [EMAIL PROTECTED] записано: PA На пальцах: пользователей с паролями в LDAP засовывать научился, PA программы проверять это дело по LDAP тоже научил. Теперь PA представим себе такую картину, что один пользователь в базе PA должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к PA SMTP, POP. Как такое сделать? PA Например так: для каждого сервиса почта, ssh, samba заводится PA отдельный objectClass (схему создаешь сам). И еще и разные поля PA для паролей используешь. PA PA Ну и естественно сервисы должны работать не через pam или bind PA авторизацию, а логиниться в лдап по сервисному аккаунту и PA проверять пароль сами. PA PA Это вообще ерунда. Пароль в LDAP надо проверять только через bind. PA Всё остальное несёт риск компрометации. Где? Только в том месте, что взлом аккаунта почтового демона даст тебе smd5. Да это цена, которую приходится платить. PA А разграничение доступа надо проводить при помощи фильтра (все PA ldap-софтины умеют его задавать) по какому-нибудь атрибуту. PA Подозреваю, уже есть такие готовые в одной из популярных схем. Угу, расскажи, пожалуйста, как развести пароли на ftp, ssh и webMail если авторизация идет bind'ом. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Fri, Feb 01, 2008 at 02:38:23PM +0200, Sergey Chumakov wrote: # Check the 'authorizedService' attribute for access # control #pam_check_service_attr yes Я так и думал, всё украдено до нас. Не надо придумывать велосипеды с новыми аттрибутами, а тем более - с objectClass'ами. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
В Птн, 01/02/2008 в 16:54 +0300, Pavel Ammosov пишет: On Fri, Feb 01, 2008 at 02:38:23PM +0200, Sergey Chumakov wrote: # Check the 'authorizedService' attribute for access # control #pam_check_service_attr yes Я так и думал, всё украдено до нас. Не надо придумывать велосипеды с новыми аттрибутами, а тем более - с objectClass'ами. Только вот беда, не работает эта опция. По крайней мере внутри vserver'а-клиента LDAP не заработала. На реальном линуксе пока нет возможности проверить. Кто-нибудь подтвердить или опровергнуть? -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
mitrohin a.s. - debian-russian@lists.debian.org @ Fri, 1 Feb 2008 21:58:01
+0600:
Где? Только в том месте, что взлом аккаунта почтового демона
даст тебе smd5. Да это цена, которую приходится платить. Угу,
расскажи, пожалуйста, как развести пароли на ftp, ssh и webMail
если авторизация идет bind'ом.
PA Задача иметь разные пароли у одного аккаунта не
PA постулировалась. И я не уверен, что такая задача имеет
PA достаточно смысла для её реализации.
Имеет. Пароли для ftp и ssh однозначно следует разводить, если
ssh-доступ по паролю разрешен.
ma не имеет. кто-то еще пользуется ftp при наличии ssh|scp|sftp,
ma иначе как для анонимного доступа?
Да. Осознание, почему, оставляется читателю в качестве домашнего
упражнения.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Чайник - это человек, который, наткнувшись на проблему, начинает громко
свистеть
(c)vitus
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Fri, Feb 01, 2008 at 05:07:47PM +0300, Artem Chuprina wrote: Pavel Ammosov - debian-russian@lists.debian.org @ Fri, 1 Feb 2008 16:53:02 +0300: Где? Только в том месте, что взлом аккаунта почтового демона даст тебе smd5. Да это цена, которую приходится платить. Угу, расскажи, пожалуйста, как развести пароли на ftp, ssh и webMail если авторизация идет bind'ом. PA Задача иметь разные пароли у одного аккаунта не постулировалась. И PA я не уверен, что такая задача имеет достаточно смысла для её PA реализации. Имеет. Пароли для ftp и ssh однозначно следует разводить, если ssh-доступ по паролю разрешен. не имеет. кто-то еще пользуется ftp при наличии ssh|scp|sftp, иначе как для анонимного доступа? пароль придётся защищать в любом случае, imho - нет смысла загромождать схему/голову. То же касается webmail, если доступ к оному webmail - только по SSL/TLS. /swp -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Не хочется тебя расстраивать, но например на Solaris до сих пор еще telnet по умолчанию идет. P.S. А чем Вам finger не угодил? -- Victor Chukhantsev xmpp: [EMAIL PROTECTED] - +7 (904) 77-68-500 gpg --keyserver wwwkeys.nl.pgp.net --recv-keys 0xF5BCF225 Mess with the best, die like the rest.
Re: LDAP авторизация
Hi Artem, * Artem Chuprina [EMAIL PROTECTED] * 2008-02-01 19:03: ma не имеет. кто-то еще пользуется ftp при наличии ssh|scp|sftp, ma иначе как для анонимного доступа? Да. Осознание, почему, оставляется читателю в качестве домашнего упражнения. Мне кажется, что поддержка ftp/telnet и пр. не будет необходимой и первоочередной. И подсунуть им при необходимости другой набор PAM модулей тоже не проблема. -- Best regards, Sergey Chumakov 2:450/77[.43] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
LDAP авторизация
С LDAP немного разобрался. Начали возникать идеи по внедрению. Итак, как с помощью LDAP сделать идентификацию и аутентификацию понятно. Не совсем понятно как с его помощью сделать авторизацию. На пальцах: пользователей с паролями в LDAP засовывать научился, программы проверять это дело по LDAP тоже научил. Теперь представим себе такую картину, что один пользователь в базе должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Покотиленко Костик пишет: С LDAP немного разобрался. Начали возникать идеи по внедрению. Итак, как с помощью LDAP сделать идентификацию и аутентификацию понятно. Не совсем понятно как с его помощью сделать авторизацию. На пальцах: пользователей с паролями в LDAP засовывать научился, программы проверять это дело по LDAP тоже научил. Теперь представим себе такую картину, что один пользователь в базе должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? как понимаю freeradius? Но это только в теорий. сам не работал с этим, пока только читал. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Hi Покотиленко, * Покотиленко Костик [EMAIL PROTECTED] * 2008-01-31 12:42: На пальцах: пользователей с паролями в LDAP засовывать научился, программы проверять это дело по LDAP тоже научил. Теперь представим себе такую картину, что один пользователь в базе должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? Что нибудь вроде pam_listfile? -- Best regards, Sergey Chumakov 2:450/77[.43] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
На Thu, 31 Jan 2008 12:40:47 +0200 Покотиленко Костик [EMAIL PROTECTED] записано: С LDAP немного разобрался. Начали возникать идеи по внедрению. Итак, как с помощью LDAP сделать идентификацию и аутентификацию понятно. Не совсем понятно как с его помощью сделать авторизацию. На пальцах: пользователей с паролями в LDAP засовывать научился, программы проверять это дело по LDAP тоже научил. Теперь представим себе такую картину, что один пользователь в базе должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? Например так: для каждого сервиса почта, ssh, samba заводится отдельный objectClass (схему создаешь сам). И еще и разные поля для паролей используешь. Получается что-то вроде: # xxx, People, dn: uid=xxx,ou=People,dc= uid: xxx cn: xxx uidNumber: 1013 gidNumber: 100 homeDirectory: /home/xxx ftpHomeDirectory: /home/xxx loginShell: /bin/bash objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount objectClass: mailAccount objectClass: ftpAccount shadowLastChange: 13018 gecos: XXX userPassword: xx ftpPassword: xx mailPassword: xx Собственно для самбы все так и происходит. Ну и естественно сервисы должны работать не через pam или bind авторизацию, а логиниться в лдап по сервисному аккаунту и проверять пароль сами. (В настройках ладапа поля с паролем доступны для чтения только сервисным аккаунтам и админу). -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D signature.asc Description: PGP signature
