26 декабря 2008 г. 15:47 пользователь Денис Черносов <[email protected]> написал: > 24 июня 2008 г. 3:07 пользователь Vasyl Tereshko <[email protected]> написал: >> Ivan Fedorov пишет: >>> >>> -----BEGIN PGP SIGNED MESSAGE----- >>> Hash: SHA1 >>> >>> >>>>> >>>>> Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять >>>>> простые операции можно было анонимно, тогда нет нужды вообще >>>>> использовать >>>>> rootbinddn. >>>>> >>>> >>>> Ага, но тогда я должен давать для anonymous например доступ к такой >>>> чувствительной информации, как вхождение пользователя в те или иные >>>> группы, >>>> что совсем неправильно. >>>> >>> >>> Ну если вы так параноидальны, то подключайтесь ко LDAP через TLS с >>> проверкой клиентских сертификатов. Тогда чужие во LDAP не залезут >>> точно. >>> >> >> Чужих как раз я не боюсь, они просто не доберутся до сервера. Я боюсь >> инсайдеров - доморощенных хакеров, которые лезут во все дыры и хотят знать >> всё, что им не положено. >> А на группах сделан доступ к ресурсам, соответственно я хочу, чтобы только >> члены этой группы могли знать кто ещё, кроме него самого имеет доступ к >> ресурсу. >> >> PS А раздать 200-300 пар сертификатов и потом их поддерживать тоже веселая >> задача. Это уж в сторону PKI тогда нужно смотреть... > > Уперся в такую же задачку. Не хочу использовать binddn админа ldap на > каждой машине, но и не пойму, как сделать так, чтобы posix > логин+пароль конкретного пользователя передавался в ldap-сервер в > качестве binddn во время поиска соответствий. Потому что разрешать > возможность чтения всех логинов паролей при анонимном подключении тоже > как-то не бодрит. И клиентские сертификаты тоже не хочется внедрять - > слишком заморочено. > > Вопрос даже не в шифровании и не в том, что админская учетка будет > лежать на каждой клиентской машине (с которой можно снять винт или > загрузиться с live-cd и прочитать секретный файл), а в том, что все > вопросы ldap-у задаются от имени админа. Неаккуратненько как-то. > Красивее, когда каждому выдается только то, что права ldap-а ему > позволяют. > > Кто-нибудь уже смог это настроить?
Хм... чем больше ищу, тем больше понимаю, что такое поведение подразумевается. Типа, сначала попытка анонимного чтения, далее, если в acl написано требование аутентификации анонимов для чтения соотв. атрибутов, то проводится аутентификация... Только хотелось бы узнать полный список атрибутов, которые необходимо раскомментировать для включения такого поведения... > _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
