Andrey Tatarinov wrote:
привет.
Вот хотелось бы положить почти все пароли для серверов в ldap. и далее
по пунктам
Samba
как лучше? через pam или через ldapsam?
Лучше через ldapsam. Любая авторизация через pam подразумевает передачу
открытого пароля. А это не только потенциальная уязвимость, но в случае
с windows ещё головная боль - ходить по машинам и разрешать открытые
пароли в реестре.
pptp
совсем не знаю. как это сделать если возможно?
Этот вопрос на самом деле про pppd, который можно заставить обращаться
за бюджетами в ldap через pam или через radius (в версии 2.4.2 имеется
соответствующий плагин). Опять же, pam позволит только pap, что в случае
pptp несекьюрно. Поэтому лучше взять freeradius, который умеет читать
ldap, а кроме того, знает о ms-chap/ms-chapv2 (используются те же хэши,
что и самбой). Теоретически, и обычный chap можно включить, но для этого
придётся хранить пароли в открытом виде, что тоже лучше не делать.
