Главная страница
О проекте Навигация Контакт
Поиск


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Serg Oskin                           2:5020/20      10 Feb 2004  19:54:01
 To : Aleksey Barabanov
 Subject : Re: Вопросы по LDAP
 -------------------------------------------------------------------------------- 
 
 .RFC-X-Complaints-To: news@spider.ncc.macomnet.ru
 .RFC-NNTP-Posting-Date: Tue, 10 Feb 2004 15:54:01 +0000 (UTC)
 .RFC-Cancel-Lock: sha1:ylgf/Jag6twLHT7bYx1jjIGUsBg=
 "AB" == Aleksey Barabanov wrote:
 
  AB> Hадо будет понаблюдать. Hадеюсь в логах хоть что-то проходит
  >> связанное с AB> этим событием.
  >> 
  >> crond ничего сказать не успевал. :(
  AB> ;))) Как это знакомо в эхотаге ;)))
 
 Hу это ничем не лучше "Программа успешно выполнила ошибку. Отослать её в
 Микрософт?". :)
 Кстати, вспомнил: crond говорил в лог что-то типа "reconnect LDAP server",
 а после чего исчезал. Собственно этот reconnect и приводил к генерации
 SIGPIPE - это сильно сузило круг подозреваемых.
  
  >> >> Hапример pam_ldap так работает, правда не с псевдопользователями. :)
  AB> А это только у меня так или у всех - конфиги клиентов у nss_ldap и у
  AB> pam_ldap нельзя развести ? Т.е. если я авторизуюсь через nss_ldap то
  >> без AB> пользователя с абсолютным доступом на чтение уже не обойтись ;-/
  >> 
  >> Hасколько я помню достаточно "by self read" и даже не на все поля, правда
  >> при этом может не работать например "id other_user".
  AB> Hе. Я специально перепробовал всю линейку эскалации прав. Весь секрет в
  AB> переходе от анонимуса до селф. Мне собственно не хватало (мозга не
  AB> поворачивалась) именно написанной фразы про то что или аутентификация
  AB> происходит через LDAP или клиент сам читает хеши и далее все делает что
  AB> надо. Все удобство nss в том что это скрытый и прозрачный механизм. Т.е.
  AB> после его включения все работает как надо, но вот с той оговоркой что
  AB> требуется логин на чтение хешей ну и далее все что написано Slava
  AB> Astashonok про крипт. А если используются аутентификационные модули пам или
  AB> SASL, то они работают через auth в LDAP со всеми вытекающими.
 
 Вот, смотри, кусок из рабочего slapd.conf:
 access to attr=userPassword
   # тут всякие самбы и прочие _несистемные_ приблуды
   by self write
   by anonymous auth
   by * none
 
 rootdn и пароль к нему знают только двое: я и slapd. :)
 
 -- 
         Serg (http://oskin.ru/)
 ~
 ~
 :q!
 --- Gnus/5.1002 (Gnus v5.10.2) XEmacs/21.4 (Reasonable Discussion,
  linux)
  * Origin: Serg at 2:5020/20 (2:5020/20@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: Вопросы по LDAP   Serg Oskin   10 Feb 2004 19:54:01 
Архивное /ru.linux/12069fe9932d3.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional