1) все равно не понял, есть лдап-сервер, к нему надо коннектиться удаленно , но хочется через ссл. Ну ок - а пользователи то зачем на лдап коннектиться должны?
2) это параметры сборки лдап-сервера, в соотвествии с которыми по умолчанию включено только enable cleartext passwords но я не проверял - в инете нашел 26 сентября 2015 г., 22:24 пользователь Eugene V. Boontseff < [email protected]> написал: > On 26.09.2015 21:54, Vasiliy P. Melnik wrote: > > Так может не заморачиваться и сделать отдельного пользователя c ро правами > да и все ? пароли у юзеров то все равно пошифрованы > > Одного пользователя мало, надо авторизовать каждого, кто попросится) > Все пользователи конторы в ldap-директории. У каждого из них свой пароль, > который хранится в атрибуте userPassword и используется для авторизации > пользователей, когда они получают почту с cyrus-imap сервера, ходят в инет > через squid и т.д. > Пароли частично хешированы, частично открытые. Сервисы используют simple > авторизацию на ldap-сервере, и им пофиг, в каком виде хранится пароль, если > авторизация на сервисе plain. > Понадобилось, чтобы пользователи авторизовались на удаленном smtp-сервере > (postfix), а тот в свою очередь проверял логины/пароли на конторском > ldap-сервере. Если удаленный postfix настроить авторизовать через > saslauthd, а тот в свою очередь, настроить на simple bind к ldap и > нешифрованное соединение с ldap, то все замечательно работает. Но пароли > через инет передаются в открытом от saslauthd к ldap. Что нехорошо. > saslathd мне не удалось заставить работать через ssl/tls соединение с ldap > почему то. (удалось правда через посредника - stunnel). > А sasldb плагин работает нормально , но только если юзерские пароли > хранятся открытым текстом. > И все openldap утилиты работают с sasl авторизацией только если пароли > хранятся открытыми. > В отличие от simple авторизации на openldap сервере. > Я задаюсь вопросом, это так и должно быть или я что-то упускаю и делаю не > так? > > Может это? > > ./configure --help > --enable-cleartext enable cleartext passwords [yes] > --enable-crypt enable crypt passwords [no] > --enable-kpasswd enable Kerberos password verification [no] > --enable-spasswd enable (Cyrus) SASL password verification [no] > > Не знаю к чему это) > > > 26 сентября 2015 г., 21:34 пользователь Eugene V. Boontseff < > <[email protected]>[email protected]> написал: > >> On 26.09.2015 19:56, Vasiliy P. Melnik wrote: >> >> Не пробовал, но насколько знаю nss_ldap + pam_ldap >> >> nss_ldap + pam_ldap я тоже знаю) это другое. >> мне понадобилось, чтобы postfix авторизовал пользователей на сервере ldap >> через инет. >> для этого есть два способа: saslauthd и плагин sasl ldapdb. >> saslauthd я настраивал раньше на тех же серверах, что и сервисы его >> использующие (imapd, postfix etc) >> поэтому на ssl/tls не заморачивался. Тут же пришлось. И оказалось, что >> saslauthd не хочет работать через ssl/tls - устанавливает tls-соединение, а >> дальше ничего делать не хочет. Не биндится на ldap-сервер. Почему, не >> понятно. В логе ldap сервера поcле >> "TLS established" сразу "UNBIND". Не с simple ни с sasl авторизацией не >> удалось заставить его работать через ssl/tls. >> Получилось, конечно, через stunnel, но это лишняя сущность. >> Решил настроить авторизацию через плагин ldapdb. И все замечательно с >> ssl/tls, только если у юзера в userPassword пароль хеширован, то >> авторизация не проходит. >> Заметил потом , что и с утилитами ldapsearch, ldapadd etc. то же самое - >> если использовать авторизацию sasl, то авторизуются только пользователи, у >> которых в userPassword cleartext пароли. У кого хешированные не >> авторизуются. С simple авторизацией все нормально и у тех и у тех. >> Это что? Для sasl-авторизации в openldap необходимо, чтобы все пароли >> были cleartext? >> >> >> 26 сентября 2015 г., 13:16 пользователь Eugene V. Boontseff < >> <[email protected]>[email protected]> написал: >> >>> Здравствуйте, коллеги! >>> >>> Пришлось заняться настройкой авторизации в ldap через плагин sasl-ldapdb. >>> Авторизация получается только если в userPassword пароль хранится в >>> открытом виде. >>> Если он зашифрован, то пользователь не авторизуется даже если выбираешь >>> ldapdb_mech: plain. >>> Это действительно так, или я что-то не додумал? >>> С saslauthd все выходит в обоих случаях. >>> >>> >> >> -- >> Eugene >> >> > > > -- > Eugene > >
