24 июня 2008 г. 3:07 пользователь Vasyl Tereshko <[email protected]> написал: > Ivan Fedorov пишет: >> >> -----BEGIN PGP SIGNED MESSAGE----- >> Hash: SHA1 >> >> >>>> >>>> Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять >>>> простые операции можно было анонимно, тогда нет нужды вообще >>>> использовать >>>> rootbinddn. >>>> >>> >>> Ага, но тогда я должен давать для anonymous например доступ к такой >>> чувствительной информации, как вхождение пользователя в те или иные >>> группы, >>> что совсем неправильно. >>> >> >> Ну если вы так параноидальны, то подключайтесь ко LDAP через TLS с >> проверкой клиентских сертификатов. Тогда чужие во LDAP не залезут >> точно. >> > > Чужих как раз я не боюсь, они просто не доберутся до сервера. Я боюсь > инсайдеров - доморощенных хакеров, которые лезут во все дыры и хотят знать > всё, что им не положено. > А на группах сделан доступ к ресурсам, соответственно я хочу, чтобы только > члены этой группы могли знать кто ещё, кроме него самого имеет доступ к > ресурсу. > > PS А раздать 200-300 пар сертификатов и потом их поддерживать тоже веселая > задача. Это уж в сторону PKI тогда нужно смотреть...
Уперся в такую же задачку. Не хочу использовать binddn админа ldap на каждой машине, но и не пойму, как сделать так, чтобы posix логин+пароль конкретного пользователя передавался в ldap-сервер в качестве binddn во время поиска соответствий. Потому что разрешать возможность чтения всех логинов паролей при анонимном подключении тоже как-то не бодрит. И клиентские сертификаты тоже не хочется внедрять - слишком заморочено. Вопрос даже не в шифровании и не в том, что админская учетка будет лежать на каждой клиентской машине (с которой можно снять винт или загрузиться с live-cd и прочитать секретный файл), а в том, что все вопросы ldap-у задаются от имени админа. Неаккуратненько как-то. Красивее, когда каждому выдается только то, что права ldap-а ему позволяют. Кто-нибудь уже смог это настроить? _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
