Ivan Fedorov пишет:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять
простые операции можно было анонимно, тогда нет нужды вообще использовать
rootbinddn.
Ага, но тогда я должен давать для anonymous например доступ к такой
чувствительной информации, как вхождение пользователя в те или иные группы,
что совсем неправильно.
Ну если вы так параноидальны, то подключайтесь ко LDAP через TLS с
проверкой клиентских сертификатов. Тогда чужие во LDAP не залезут
точно.
Чужих как раз я не боюсь, они просто не доберутся до сервера. Я боюсь
инсайдеров - доморощенных хакеров, которые лезут во все дыры и хотят
знать всё, что им не положено.
А на группах сделан доступ к ресурсам, соответственно я хочу, чтобы
только члены этой группы могли знать кто ещё, кроме него самого имеет
доступ к ресурсу.
PS А раздать 200-300 пар сертификатов и потом их поддерживать тоже
веселая задача. Это уж в сторону PKI тогда нужно смотреть...
--
Толми
_______________________________________________
Sysadmins mailing list
[email protected]
https://lists.altlinux.org/mailman/listinfo/sysadmins
