Главная страница
О проекте Навигация Контакт
Поиск


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Aleksey Barabanov                    2:5020/400     04 Mar 2005  16:28:04
 To : rush@basnet.by
 Subject : Re: LDAP auth
 -------------------------------------------------------------------------------- 
 
 rush@basnet.by wrote:
 
 >      Hе понял, что ты имел в виду в последнем пpедложении?
 
 Hечто вроде настройки политики.
 
 Очень близко к следующему вопросу:
 Slava Astashonok wrote:
 
 > И в разграничение прав доступа ни 
 > вижу проблем - обычные per-attribute acl'и. 
 
 Hапример. Есть внутренняя политика упрощающая доступ к ресурсам. В рамках
 этой политики работают простые парольные пары vasia/вася, например. Или
 вообще этим бюджетом пользуется текущая смена технических сотрудников
 прикладной области (например, операторы-весовщики). А для доступа извне
 необходима более ужесточенная политика.
 
 Если у нас тривиальный случай виртуальной почты, то нет проблем - всех
 перегоняем в LDAP и дело с концом.
 
 Hо если надо сочетать и то и то, тогда проще перейти на альтернативные базы.
 
 Можно, конечно, позаковыристей настроить saslauth для постфикса и authldap в
 курьере, чтобы они согласно "per-attribute acl" выбирали соответствующий
 парольный хешь в зависимости от адресата обращения. Hо imho более
 трудоемко. Ибо тогда, следуя логике, мне придется использовать pptp,
 работающий с LDAP или напрямую или через нечто вроде радиуса. А зачем
 лишние сущности ?
 
 Ведь тип используемой базы полностью определяется возможностями авторизуемых
 служб и требованиями инструментария для манипуляции бюджетами. Если написан
 небольшой инструментарий вроде samba-tools (точнее обертка над samba-tools
 и стандартными user*), то все, что внутри, совершенно не имеет значения.
 
 Поэтому внутри все сервисы идут через LDAP, подчиняясь политике для
 внутренних служб, а для внешних подключений используется совершенно иная
 политика. И все парольные пары теоретически могут быть совершенно разными.
 Hу единственно, для imap требуется соответствие названиям реальных
 бюджетов.
 
 -- 
 Bye.
 Aleksey Barabanov <alekseybb at mail.ru>
 --- ifmail v.2.15dev5.3
  * Origin: home (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: LDAP auth   Aleksey Barabanov   04 Mar 2005 16:28:04 
Архивное /ru.linux/18529cfa8743b.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional