Vladimir V. Kamarzin пишет:
On 16 Jun 2008 at 19:45 "VT" == Vasyl Tereshko writes:
VT> Добрый день,
VT> Люди добрые, подскажите, кто может, а то совсем мозги закипают.
VT> Есть OpenLDAP и там заведены юзеровские эккаунты, настроен на серверах
VT> nss_ldap и там всё работает.
VT> А теперь задача - поднять это на клиентской машине, где юзер
VT> потенциально может получить доступ рута и в nss_ldap.conf
VT> bindrootdn=<bla-bla> и пароль в nss_ldap.secret положить нельзя.
VT> А ещё неплохо бы, чтобы там же работал nscd.
VT> У меня максимум получается, что от рута id <LDAP user> работает, а от
VT> обычного - нет. Кто-то может поделиться работающими конфигами ?
Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять
простые операции можно было анонимно, тогда нет нужды вообще использовать
rootbinddn.
Ага, но тогда я должен давать для anonymous например доступ к такой
чувствительной информации, как вхождение пользователя в те или иные
группы, что совсем неправильно.
Можно конечно не использовать bindrootdn, а просто binddn, и прописывать
его для каждой клиентской станции отдельно, положив например его в
ou=Computers, и потом прописать соответсвующие ACL, но это несколько
увеличивает объём администрирования. Что-то ничего разумного в голову не
приходит.
--
Толми
_______________________________________________
Sysadmins mailing list
[email protected]
https://lists.altlinux.org/mailman/listinfo/sysadmins
