Всех с ДСА ! ;))
Как бы подойти к такой задаче..
Есть несколько хостов, на которых настроена общая авторизация через
LDAP. Все работает отлично, информация о UID-GID-членстве в группах
берется из каталога.
Поступила задача на _одном_ из хостов сделать отступление от этой схемы,
а именно
Добрый день!
В машинке с openvz настроена авторизация через общий ldap-каталог.
Удобно. Но openvz-контейнеры теперь запускаются очень долго (около 10
мин). Есть подозрение, что все процессы теперь хотят получать UID/GID
через ldap.
Вопрос: как бы это пресечь? Или хотя бы отдиагностировать.
Alex Mestiashvili wrote:
Игорь Чумак wrote:
Добрый день!
В машинке с openvz настроена авторизация через общий ldap-каталог.
Удобно. Но openvz-контейнеры теперь запускаются очень долго (около 10
мин). Есть подозрение, что все процессы теперь хотят получать UID/GID
через ldap.
Вопрос: как бы
On Sat, 17 Apr 2010 01:05:14 +0400
Pavel Ammosov apa...@wapper.ru wrote:
On Sat, Apr 17, 2010 at 01:40:15AM +0800, Denis Feklushkin wrote:
как работает pam ldap? он получает хэш пароля из ldap и сравнивает его с
получившимся их введённого пароля хэшем?
Нет.
Он берёт пароль
Denis Feklushkin пишет:
On Fri, 09 Apr 2010 10:39:07 +0300
Игорь Чумак i.chu...@generali.garant.ua wrote:
Denis Feklushkin пишет:
On Thu, 08 Apr 2010 10:23:15 +0300
Игорь Чумак i.chu...@generali.garant.ua wrote:
Добрый день!
Настроил авторизацию по предложенной схеме:
On Fri, 16 Apr 2010 20:24:33 +0300
Игорь Чумак ichumak2...@gmail.com wrote:
Denis Feklushkin пишет:
On Fri, 09 Apr 2010 10:39:07 +0300
Игорь Чумак i.chu...@generali.garant.ua wrote:
Denis Feklushkin пишет:
On Thu, 08 Apr 2010 10:23:15 +0300
Игорь Чумак
Denis Feklushkin пишет:
On Fri, 09 Apr 2010 10:39:07 +0300
Игорь Чумак i.chu...@generali.garant.ua wrote:
Denis Feklushkin пишет:
On Thu, 08 Apr 2010 10:23:15 +0300
Игорь Чумак i.chu...@generali.garant.ua wrote:
Добрый день!
Настроил авторизацию по предложенной схеме:
On Thu, 08 Apr 2010 10:23:15 +0300
Игорь Чумак i.chu...@generali.garant.ua wrote:
Добрый день!
Настроил авторизацию по предложенной схеме:
http://www.opennet.ru/base/net/debian_ldap_install1.txt.html
а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на
сколько я
Denis Feklushkin пишет:
On Thu, 08 Apr 2010 10:23:15 +0300
Игорь Чумак i.chu...@generali.garant.ua wrote:
Добрый день!
Настроил авторизацию по предложенной схеме:
http://www.opennet.ru/base/net/debian_ldap_install1.txt.html
а зачем? из лдап у вас любые хэши паролей любой унесёт с
On Fri, 09 Apr 2010 10:39:07 +0300
Игорь Чумак i.chu...@generali.garant.ua wrote:
Denis Feklushkin пишет:
On Thu, 08 Apr 2010 10:23:15 +0300
Игорь Чумак i.chu...@generali.garant.ua wrote:
Добрый день!
Настроил авторизацию по предложенной схеме:
Добрый день!
Настроил авторизацию по предложенной схеме:
http://www.opennet.ru/base/net/debian_ldap_install1.txt.html
Всё отлично работает, но..
При попытке смены пароля происходит следующее:
t...@ftp:~$ passwd
Enter login(LDAP) password: (вводим текущий пароль)
New password: 1234
Password
Pavel Ammosov - debian-russian@lists.debian.org @ Sun, 3 Feb 2008 23:33:27
+0300:
Ставит winscp и радуется жизни.
Плагин к FAR-у заметно более удобен
PA плагин для far, реализующий scp/sftp, можно скачать на сайте
PA winscp. Помимо прочих преимуществ, он может авторизоваться на ssh
PA
Victor Wagner - debian-russian@lists.debian.org @ Sun, 3 Feb 2008 00:03:14
+0300:
SC Всегда думал о защищенном соединении. И совершенно забыл о
SC упомянутом интернет кафе. Да, согласен. Только с пользователями
SC проблема, они все равно будут пароли бить одни и те же, ааа
SC ...
sergio - debian-russian@lists.debian.org @ Mon, 04 Feb 2008 19:09:26 +0300:
VW Поэтому альтернативой ftp является не scp/sftp, а webdav. Там
VW много больше возможностей проконтролировать действия
VW пользователя на стороне сервера (ибо http).
И больше возможностей взломать. Ибо
sergio - debian-russian@lists.debian.org @ Mon, 04 Feb 2008 19:35:21 +0300:
s те апач дыряв как решето?
Именно. Нет, статику анонимам он, вроде бы, отдает достаточно
секьюрно. А вот когда дело доходит до динамики и работы на прием...
s и из чего же следует такое умозаключение? ну
Иван Лох - debian-russian@lists.debian.org @ Mon, 4 Feb 2008 19:48:05 +0300:
s те апач дыряв как решето?
Именно. Нет, статику анонимам он, вроде бы, отдает достаточно
секьюрно. А вот когда дело доходит до динамики и работы на прием...
ИЛ Если мы договоримся, что статику не-анонимам
On Mon, Feb 04, 2008 at 12:44:32PM +0300, Artem Chuprina wrote:
Pavel Ammosov - debian-russian@lists.debian.org @ Sun, 3 Feb 2008 23:33:27
+0300:
Ставит winscp и радуется жизни.
Плагин к FAR-у заметно более удобен
PA плагин для far, реализующий scp/sftp, можно скачать на сайте
PA
On Mon, Feb 04, 2008 at 08:01:54PM +0300, Artem Chuprina wrote:
ИЛ Если мы договоримся, что статику не-анонимам он тоже может отдавать
ИЛ секьюрно, то мне, почему-то, и за WebDAV станет более-менее
ИЛ спокойно ;-}
Во-первых, это если договоримся. А во-вторых, мне и в этом случае
будет,
Pavel Ammosov - debian-russian@lists.debian.org @ Mon, 4 Feb 2008 18:47:11
+0300:
Ставит winscp и радуется жизни.
Плагин к FAR-у заметно более удобен
PA плагин для far, реализующий scp/sftp, можно скачать на сайте
PA winscp. Помимо прочих преимуществ, он может авторизоваться на
On Mon, Feb 04, 2008 at 07:22:26PM +0300, Artem Chuprina wrote:
s те апач дыряв как решето?
Именно. Нет, статику анонимам он, вроде бы, отдает достаточно
секьюрно. А вот когда дело доходит до динамики и работы на прием...
Если мы договоримся, что статику не-анонимам он тоже может отдавать
Artem Chuprina wrote:
sergio - debian-russian@lists.debian.org @ Mon, 04 Feb 2008 19:09:26 +0300:
s те апач дыряв как решето?
Именно. Нет, статику анонимам он, вроде бы, отдает достаточно
секьюрно. А вот когда дело доходит до динамики и работы на прием...
и из чего же следует такое
On 2008.02.04 at 20:01:54 +0300, Artem Chuprina wrote:
Не знааю... Видел я пару апачевских модулей глазами... Да,
Когда это было? В прошлом веке или все-таки уже в этом? Что-то я не
помню чтобы во времена, когда уже существовал APR ты активно мучал
apache.
--
To UNSUBSCRIBE, email to
Victor Wagner - debian-russian@lists.debian.org @ Tue, 5 Feb 2008 09:42:36
+0300:
Не знааю... Видел я пару апачевских модулей глазами... Да,
VW Когда это было? В прошлом веке или все-таки уже в этом? Что-то я не
VW помню чтобы во времена, когда уже существовал APR ты активно мучал
VW
On Sat, Feb 02, 2008 at 11:55:14PM +0200, Dmitry Nezhevenko wrote:
On Sun, Feb 03, 2008 at 12:21:42AM +0300, ph wrote:
Ставит winscp и радуется жизни.
Плагин к FAR-у заметно более удобен
плагин для far, реализующий scp/sftp, можно скачать на сайте winscp.
Помимо прочих преимуществ, он может
On Sun, Feb 03, 2008 at 12:03:14AM +0300, Victor Wagner wrote:
Поэтому альтернативой ftp является не scp/sftp, а webdav.
Там много больше возможностей проконтролировать действия пользователя
на стороне сервера (ибо http). А клиент встроен в винду.
Только вот сервера, обладающего эквивалентным
Sergey Chumakov - debian-russian@lists.debian.org @ Sat, 2 Feb 2008 09:34:19
+0200:
ma не имеет. кто-то еще пользуется ftp при наличии ssh|scp|sftp,
ma иначе как для анонимного доступа?
Да. Осознание, почему, оставляется читателю в качестве домашнего
упражнения.
SC Мне кажется,
mitrohin a.s. wrote:
не имеет.
кто-то еще пользуется ftp при наличии ssh|scp|sftp, иначе как для анонимного
доступа?
Пользуюсь постоянно. ftp получается быстрее.
--
WBR, Oleg Gashev.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL
Hi Artem,
* Artem Chuprina [EMAIL PROTECTED]
* 2008-02-02 11:21:
SC первоочередной.
А если подумать? Именно про ftp?
Долго думал. Ну нету у меня его нигде :) Не нужен. Был анонимный для
свалки, снес, потому что хватает http.
tftp есть - запускаю чтоб сбросить конфиг циски.
Всегда думал о
Создавайте группы в LDAP для каждого сервиса и добавляйте туда кого
нужно. Далее:
auth sufficient pam_ldap.so config=//ldap-ssh.conf
ldap-ssh.conf:
pam_groupdn cn=ssh,ou=groups,dc=example,dc=com
pam_member_attribute memberuid
Покотиленко Костик пишет:
С LDAP немного
На Sat, 2 Feb 2008 11:56:41 +0200
Sergey Chumakov [EMAIL PROTECTED] записано:
Всегда думал о защищенном соединении. И совершенно забыл о упомянутом
интернет кафе. Да, согласен. Только с пользователями проблема, они все
равно будут пароли бить одни и те же, ааа ... 123.
cracklib, ну и проверка,
On Sat, Feb 02, 2008 at 08:22:46AM +0300, Victor Chukhantsev wrote:
Не хочется тебя расстраивать, но например на Solaris до сих пор еще
telnet по умолчанию идет.
Нет, не идёт. Начиная с 10u2 спрашивают при инсталляции и только в
случае положительного ответа ставят всю эту фигню, включая
On Fri, Feb 01, 2008 at 05:32:16PM +0300, Alexander GQ Gerasiov wrote:
Fri, 1 Feb 2008 16:53:02 +0300
Pavel Ammosov [EMAIL PROTECTED] wrote:
Задача иметь разные пароли у одного аккаунта не постулировалась.
Ты невнимательно читал предложенное мной. Там это оговаривалось.
И я не уверен, что
Hi Alexander,
* Alexander GQ Gerasiov [EMAIL PROTECTED]
* 2008-02-02 13:42:
все
равно будут пароли бить одни и те же, ааа ... 123.
cracklib, ну и проверка, что пароль для сервиса не совпадает с
основным.
Который основной то пароль? И это для умных. А для пользователей ПК?
Я не вижу
На Sat, 2 Feb 2008 14:51:15 +0300
Pavel Ammosov [EMAIL PROTECTED] записано:
On Fri, Feb 01, 2008 at 05:32:16PM +0300, Alexander GQ Gerasiov wrote:
Fri, 1 Feb 2008 16:53:02 +0300
Pavel Ammosov [EMAIL PROTECTED] wrote:
Задача иметь разные пароли у одного аккаунта не постулировалась.
Ты
Sergey Chumakov - debian-russian@lists.debian.org @ Sat, 2 Feb 2008 11:56:41
+0200:
SC первоочередной.
А если подумать? Именно про ftp?
SC Долго думал. Ну нету у меня его нигде :) Не нужен. Был анонимный
SC для свалки, снес, потому что хватает http. tftp есть - запускаю
SC чтоб
Hi Artem,
* Artem Chuprina [EMAIL PROTECTED]
* 2008-02-02 15:11:
Когда человеку нужен шелл, он обычно обладает достаточной
квалификацией
для понимания своей части протокола безопасности. А типичный человек,
которому нужно файлы из дома в офис гонять - нет.
Кажется я понял, пересказать
Nick Phoenix - debian-russian @ Sat, 02 Feb 2008 14:15:28 +0300:
NP Создавайте группы в LDAP для каждого сервиса и добавляйте туда кого
NP нужно. Далее:
А чем плох pam_check_service_attr=yes?
--
.''`. Kirill A. Korinskiy [EMAIL PROTECTED]
: :' : proud (maniac)? (developer|hacker)
`.
Особо ничем. Просто, честно говоря, не видел удобной программы для
управления атрибутом authorizedService, а для управлениями группами их
достаточно много.
Kirill A. Korinskiy пишет:
Nick Phoenix - debian-russian @ Sat, 02 Feb 2008 14:15:28 +0300:
NP Создавайте группы в LDAP для каждого
Nick Phoenix - debian-russian@lists.debian.org @ Sat, 02 Feb 2008 18:37:34
+0300:
NP Особо ничем. Просто, честно говоря, не видел удобной программы для
NP управления атрибутом authorizedService, а для управлениями группами их
NP достаточно много.
Просто pam_check_service_attr делает меньше
On 2008.02.02 at 16:06:46 +0300, Artem Chuprina wrote:
SC Всегда думал о защищенном соединении. И совершенно забыл о
SC упомянутом интернет кафе. Да, согласен. Только с пользователями
SC проблема, они все равно будут пароли бить одни и те же, ааа
SC ... 123.
Защищенное соединение
On Sun, Feb 03, 2008 at 12:21:42AM +0300, ph wrote:
Ставит winscp и радуется жизни.
Плагин к FAR-у заметно более удобен
Или вообще :) Пусть флэшку использует:)
Ага.. и по почте ее слать :)
P.S. если кому-то эта тема интересна - тут всё на пальцах:
На Sun, 3 Feb 2008 00:21:42 +0300
ph [EMAIL PROTECTED] записано:
обладает достаточной квалификацией для понимания своей части
протокола безопасности.
Действительно, великолепный каламбур :)
Целых 9 слов, причем не самых коротких:) Вроде они как будто даже
связанные между собой) Но
On Sun, Feb 03, 2008 at 02:49:07AM +0300, ph wrote:
On 02-Feb-2008, Dmitry Nezhevenko wrote:
Плагин к FAR-у заметно более удобен
Ну это по вкусу.
Для ностальгирующих по IBM PC AT, можно поставить из cygwin mc - там оно из
коробки будет:)
Сюда же: FTP-сервер список файлов может отдавать
В Птн, 01/02/2008 в 13:31 +0300, Pavel Ammosov пишет:
On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov wrote:
На Thu, 31 Jan 2008 12:40:47 +0200
Покотиленко Костик [EMAIL PROTECTED] записано:
На пальцах: пользователей с паролями в LDAP засовывать научился,
программы
On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov wrote:
На Thu, 31 Jan 2008 12:40:47 +0200
Покотиленко Костик [EMAIL PROTECTED] записано:
На пальцах: пользователей с паролями в LDAP засовывать научился,
программы проверять это дело по LDAP тоже научил. Теперь представим
себе
Pavel Ammosov - debian-russian@lists.debian.org @ Fri, 1 Feb 2008 16:53:02
+0300:
Где? Только в том месте, что взлом аккаунта почтового демона даст
тебе smd5. Да это цена, которую приходится платить. Угу, расскажи,
пожалуйста, как развести пароли на ftp, ssh и webMail если
авторизация
On Fri, Feb 01, 2008 at 04:39:47PM +0300, Alexander GQ Gerasiov wrote:
Где? Только в том месте, что взлом аккаунта почтового демона даст тебе
smd5. Да это цена, которую приходится платить.
Угу, расскажи, пожалуйста, как развести пароли на ftp, ssh и webMail
если авторизация идет bind'ом.
Hi Покотиленко,
* Покотиленко Костик [EMAIL PROTECTED]
* 2008-02-01 14:07:
Man'ы читать надо, блин. Есть такая конструкция, которую можно
использовать в /etc/pam.d/*:
account required pam_ldap.so config=/etc/pam_ldap_имя сервиса.conf
Так даже красиво.
Кажется есть еще красивее (я не
Fri, 1 Feb 2008 16:53:02 +0300
Pavel Ammosov [EMAIL PROTECTED] wrote:
On Fri, Feb 01, 2008 at 04:39:47PM +0300, Alexander GQ Gerasiov wrote:
Где? Только в том месте, что взлом аккаунта почтового демона даст
тебе smd5. Да это цена, которую приходится платить.
Угу, расскажи, пожалуйста, как
Fri, 1 Feb 2008 13:31:37 +0300
Pavel Ammosov [EMAIL PROTECTED] wrote:
PA On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov
PA wrote:
PA На Thu, 31 Jan 2008 12:40:47 +0200
PA Покотиленко Костик [EMAIL PROTECTED] записано:
PA На пальцах: пользователей с паролями в LDAP засовывать
On Fri, Feb 01, 2008 at 02:38:23PM +0200, Sergey Chumakov wrote:
# Check the 'authorizedService' attribute for access
# control
#pam_check_service_attr yes
Я так и думал, всё украдено до нас. Не надо придумывать велосипеды с
новыми аттрибутами, а тем более - с objectClass'ами.
--
To
В Птн, 01/02/2008 в 16:54 +0300, Pavel Ammosov пишет:
On Fri, Feb 01, 2008 at 02:38:23PM +0200, Sergey Chumakov wrote:
# Check the 'authorizedService' attribute for access
# control
#pam_check_service_attr yes
Я так и думал, всё украдено до нас. Не надо придумывать велосипеды с
новыми
mitrohin a.s. - debian-russian@lists.debian.org @ Fri, 1 Feb 2008 21:58:01
+0600:
Где? Только в том месте, что взлом аккаунта почтового демона
даст тебе smd5. Да это цена, которую приходится платить. Угу,
расскажи, пожалуйста, как развести пароли на ftp, ssh и webMail
если
On Fri, Feb 01, 2008 at 05:07:47PM +0300, Artem Chuprina wrote:
Pavel Ammosov - debian-russian@lists.debian.org @ Fri, 1 Feb 2008 16:53:02
+0300:
Где? Только в том месте, что взлом аккаунта почтового демона даст
тебе smd5. Да это цена, которую приходится платить. Угу, расскажи,
Не хочется тебя расстраивать, но например на Solaris до сих пор еще telnet по
умолчанию идет.
P.S. А чем Вам finger не угодил?
--
Victor Chukhantsev
xmpp: [EMAIL PROTECTED] - +7 (904) 77-68-500
gpg --keyserver wwwkeys.nl.pgp.net --recv-keys 0xF5BCF225
Mess with the best, die like the rest.
Hi Artem,
* Artem Chuprina [EMAIL PROTECTED]
* 2008-02-01 19:03:
ma не имеет. кто-то еще пользуется ftp при наличии ssh|scp|sftp,
ma иначе как для анонимного доступа?
Да. Осознание, почему, оставляется читателю в качестве домашнего
упражнения.
Мне кажется, что поддержка ftp/telnet и
С LDAP немного разобрался. Начали возникать идеи по внедрению.
Итак, как с помощью LDAP сделать идентификацию и аутентификацию понятно.
Не совсем понятно как с его помощью сделать авторизацию.
На пальцах: пользователей с паролями в LDAP засовывать научился,
программы проверять это дело по LDAP
Покотиленко Костик пишет:
С LDAP немного разобрался. Начали возникать идеи по внедрению.
Итак, как с помощью LDAP сделать идентификацию и аутентификацию понятно.
Не совсем понятно как с его помощью сделать авторизацию.
На пальцах: пользователей с паролями в LDAP засовывать научился,
Hi Покотиленко,
* Покотиленко Костик [EMAIL PROTECTED]
* 2008-01-31 12:42:
На пальцах: пользователей с паролями в LDAP засовывать научился,
программы проверять это дело по LDAP тоже научил. Теперь представим
себе
такую картину, что один пользователь в базе должен иметь доступ к
SMTP,
POP,
На Thu, 31 Jan 2008 12:40:47 +0200
Покотиленко Костик [EMAIL PROTECTED] записано:
С LDAP немного разобрался. Начали возникать идеи по внедрению.
Итак, как с помощью LDAP сделать идентификацию и аутентификацию
понятно. Не совсем понятно как с его помощью сделать авторизацию.
На пальцах:
60 matches
Mail list logo