Denis Feklushkin пишет:
On Fri, 09 Apr 2010 10:39:07 +0300
Игорь Чумак <[email protected]> wrote:
Denis Feklushkin пишет:
On Thu, 08 Apr 2010 10:23:15 +0300
Игорь Чумак <[email protected]> wrote:
Добрый день!
Настроил авторизацию по предложенной схеме:
http://www.opennet.ru/base/net/debian_ldap_install1.txt.html
а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на
сколько я понимаю
(это агитация за kerberos)
access to attrs=userPassword,shadowLastChange
by dn="cn=admin,dc=upg,dc=com,dc=ua" write
by anonymous auth
by self write
by * none
Хеш пароля может унесть либо админ, либо self
именно. после взлома одной машины унесут все хэши
После взлома == получивши root и прочитавши /etc/libnss-ldap.secret ?
Пожалуй, это будет полное ЖО :(
Унесут хеши - флаг в руки, даже 6-значный пароль подбирается долго. Но
пароль админа - это полный доступ к базе..
С другой стороны, на кой нужен параметр rootbinddn в
/etc/libnss-ldap.conf - я так и не понял. Без него авторизация тоже
работает, а унести можно будет только хеш _своего_ пароля.
--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
Archive: http://lists.debian.org/[email protected]
