Добрый день. От теоретической работы с LDAP перешел к практической - и вот серия вопросов:
1) при переносе пользователей в LDAP в атрибуте userPassword хранится unix-пароль, а не LDAP-пароль - иначе авторизовать пользователя логин не может. В чем тогда глубинный смысл разрешения "by anonymous auth", если авторизоваться against этих паролей все равно не получится? 2) соответственно, кто-то должен иметь возможность читать пароли, что не весело. Я в общем завел пользователя, которому больше ничего и нельзя, и через него читаю пароли и авторизуюсь, но все рано как-то невесело. Может, есть другие варианты? 3) apt-get install libnss-ldap и исправление nsswitch.conf на предмет passwd: files ldap дает возможность авторизации юзерам и из LDAP, и из /etc/passwd - но с одной странностью. LDAP-юзер имеет промпт в баше "I have no [EMAIL PROTECTED]:~$" - что странно. Куда он теряет имя? Более того, если такой юзер создает файл - то остальные (passwd-юзеры) нормально видят его владельца и группу, а он сам - в только UID/GID (разрешения чисел в имена н епроисходит) - опять же, непонятно, почему? pam-ldap не использую и все еще не понял, зачем он нужен - кроме как алтернативный вариант, без исправления nsswitch, но с исправлением pam.d/login на предмет достаточности pam_ldap-аутентификации. -- Alexander A. Vlasov, Debian GNU/Linux user
