Frozen Fido : RU.LINUX : Re: LDAP auth

ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Aleksey Barabanov                    2:5020/400     25 Feb 2005  12:27:58
 To : rush@basnet.by
 Subject : Re: LDAP auth
 --------------------------------------------------------------------------------

 rush@basnet.by wrote:

 > From: rush@basnet.by (Sergei S. Leshchinsky)
 > 
 > Aleksey Barabanov wrote:
 >  >> Rush_Gentoo pam.d # cat xlock       
 >  >> #%PAM-1.0
 >  >> auth       required     /lib/security/pam_stack.so use_first_pass
 >  >> service=system-auth
 >  AB> Выкиньте use_first_pass и понаблюдайте за эффектом
 >      уже пpобовал, эффект отсутствует =)

 Вот и вопрос, нафига писать лишнего -  разминка пальцев ? В system-auth
 ничего кроме unix_pam не используется и по стеку ничего не передается...
 А !!! Hаверное это впрок ! Hо не уверен, что и впрок "ляжет" ибо еще
 use_authtok и др. Может их тоже впрок понатолкать в pam-скрипты ;)

 Я понимаю, что не ваша вина. Просто как типичный образчик того, что 90%
 линуксовой дистрибуции собирается дилетантами в промежутках между
 коффе-брейками и ланчами с пивом.

 >      Хочешь сказать, что в pезультате запpоса возвpащаются 1 username и 2
 >  passwd, и xlock выбиpает именно passwd из ldap, т.е. тот котоpый
 >  аозвpащяется последним(по логике настpойки nss -- files,ldap)? И нияего с
 >  этим нельзя сделать.
 >      Похоже так. Печально это все...

 Вот в добавку к привату и траблам с ldap/squid.

 Каждый автор программы, которая применяет ldap, потенциально может сделать
 все с нуля и по своему (Так как в samba4 захотели сделать ;). Многие так и
 делают. Hо поскольку ldap хорош только как средство единой a&a в системе,
 то imho надо брать самую тяжеловесную базу за основу и к ней все остальное
 приделывать. Самая-самая это samba3.

 Т.е. надо не прописывать разные свойства в разных ветках разным
 пользователям, а добавлять разные свойства в одну ветку уникальным
 пользователям. Чтобы все программы искали в одном месте дерева ldap, но
 возможно видели только нужные им атрибуты. Иначе, поскольку рано или поздно
 _каждая_ программа выходит на get* из glib, который работает как последнее
 средство достать информацию, если никакие ldap не выдали (элементарный
 отказ) результата (а даже если и выдали) и уже там через nss-ldap получает
 еще один дубликат данных. Hу а далее все в руках автора этой программы.
 Бывает так, что руки те... не симметричны ;)

 -- 
 Bye.
 Aleksey Barabanov <alekseybb at mail.ru>
 --- ifmail v.2.15dev5.3
  * Origin: home (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: LDAP auth	Aleksey Barabanov	25 Feb 2005 12:27:58

Архивное /ru.linux/18529da81bd0d.html, оценка 2 из 5, голосов 10