Analiza mea e corecta pentru ca e de fapt un comentariu din cod :)
:
/* Some infos :
* This is an anonymous bind to LDAP server.
* The first connection return the mailRoutingAddress for user.
* This *must* be the username of the user. If not, this is not
* a local mailbox. Then, after lookup for the username (userid),
* we made another bind, with the user supplied cred / pasword.
* If this bind is done, then user is identified.
Nu am cine stie ce experienta cu LDAP, de asta ma gandesc si la
eficienta ( mail-ul meu merge foarte bine si fara, dar vine o zi in
viata unui admin cand vrea o schimbare :) )
Ma gandeam eu ca o sa ai ceva de spus, am vazut niste contrib-uri de ale
tale pe aceasta tema ( eu deocamdata doar ma documentez)
Roadmap-ul meu ar fi urmatorul:
1. sa adaug in SFU o functie care sa schimbe parola de LDAP (
deocamdata l-am modificat in asa fel incat exista o functie
"change_pass(user, parola)" ; deocamdata acolo exista doar schimbarea de
shadow password, dar aducand-o la aceasta forma pot adauga functii care
sa le schimbe ce vreau eu . Inca mai stau in dubiu daca nu ar fi cel mai
simplu sa pun direct un apel la ldappasswd, mai ales ca aici chiar nu
conteaza eficienta.
2. Sa mut autentificarea pop3 de la shadow la ldap ( nu folosesc teapop,
dar pot lua codul aproape direct)
3. Sa folosesc lookuptables LDAP la postfix ( asta exista, doar trebuie
sa ma joc cu ele)
4. Sa produc doua utilitare ( m-am gandit ca s-ar putea numi clientadd
si clientdel) care sa adauge, recte sa stearga userii virtuali ( asta in
cazul in care mai trebuie facut si altceva decat sa adaug useri in
LDAP, altfel pot folosi ldapadd).
Si asa voi fi mai fericit avand un server de mail cu clienti "perfect
virtuali" ale caror parole se schimba direct din statiile lor de windows
legate la Active Directory :)
Cum pe la firma mea traficul de mail nu e chiar neglijabil, si cum
oricum trecerea la LDAP inseamna un consum de resurse, normal ca incerc
si eu sa optimizez cumva toata afacerea. De asta ma-m gandit sa intreb
pe cineva care s-a mai ocupat de lucruri din acest domeniu.
Liviu Daia wrote:
>Mihai Badici <[EMAIL PROTECTED]> scria la data de 10 Martie 2005:
>
>
>>Ma gandesc sa modific serverul meu POP3 sa se autentifice prin LDAP.
>>Ma uitam acum cum e facuta chestia asta in teapop:
>>Mai intai se face un bind anonim, ca sa vada daca userul exista, dupa
>>care se face un bind cu parola , si daca raspunsul e OK, inseamna ca s-a
>>autentificat.
>>
>>
>
> Disclaimer: nu stiu nimic despre teapop, dar te cred pe cuvant ca
>analiza ta e corecta.
>
>
>
>>Sa fie mai eficienta metoda asta decat un bind cu un user privilegiat
>>(manager? ) urmat de un search dupa uid si parola?
>>
>>
>
> Bineinteles ca nu. Insa teapop face autentificarea asa din cel
>putin doua motive:
>
>(1) In felul asta nu are nevoie de un user privilegiat. Daca ar face
> cum spui tu, o gaura de securitate bine plasata (fenomen intalnit
> si la case mai mari :-)) ar compromite parolele tuturor user-ilor.
> Stricta eficienta nu este intotdeauna criteriul cel mai important.
>
>(2) Nu are rost sa optimizezi functii care contribuie cu doar 0,1% la
> timpul total de executie al programului. Exista cu siguranta alte
> functii care mananca de sute de ori mai mult timp decat un bind
> LDAP, ocupa-te de ele.
>
> Salutari,
>
> Liviu Daia
>
>
>
---
Detalii despre listele noastre de mail: http://www.lug.ro/
