On 26.09.2015 19:56, Vasiliy P. Melnik wrote:
Не пробовал, но насколько знаю nss_ldap + pam_ldap
nss_ldap + pam_ldap я тоже знаю) это другое.
мне понадобилось, чтобы postfix авторизовал пользователей на сервере
ldap через инет.
для этого есть два способа: saslauthd и плагин sasl ldapdb.
saslauthd я настраивал раньше на тех же серверах, что и сервисы его
использующие (imapd, postfix etc)
поэтому на ssl/tls не заморачивался. Тут же пришлось. И оказалось, что
saslauthd не хочет работать через ssl/tls - устанавливает
tls-соединение, а дальше ничего делать не хочет. Не биндится на
ldap-сервер. Почему, не понятно. В логе ldap сервера поcле
"TLS established" сразу "UNBIND". Не с simple ни с sasl авторизацией не
удалось заставить его работать через ssl/tls.
Получилось, конечно, через stunnel, но это лишняя сущность.
Решил настроить авторизацию через плагин ldapdb. И все замечательно с
ssl/tls, только если у юзера в userPassword пароль хеширован, то
авторизация не проходит.
Заметил потом , что и с утилитами ldapsearch, ldapadd etc. то же самое -
если использовать авторизацию sasl, то авторизуются только пользователи,
у которых в userPassword cleartext пароли. У кого хешированные не
авторизуются. С simple авторизацией все нормально и у тех и у тех.
Это что? Для sasl-авторизации в openldap необходимо, чтобы все пароли
были cleartext?
26 сентября 2015 г., 13:16 пользователь Eugene V. Boontseff
<[email protected] <mailto:[email protected]>> написал:
Здравствуйте, коллеги!
Пришлось заняться настройкой авторизации в ldap через плагин
sasl-ldapdb.
Авторизация получается только если в userPassword пароль хранится
в открытом виде.
Если он зашифрован, то пользователь не авторизуется даже если
выбираешь ldapdb_mech: plain.
Это действительно так, или я что-то не додумал?
С saslauthd все выходит в обоих случаях.
--
Eugene
