|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 09 Feb 2004 12:52:18
To : Nick E. Milogradsky
Subject : Re: Вопросы по LDAP
--------------------------------------------------------------------------------
Nick E. Milogradsky wrote:
> Hello All !
>
> Hарод, кто нибудь делал 2 и более сервера LDAP'овской базой, чтобы они
> между собой реплицировались (новыми записями обменивались, и базы
> синхронизировали), чтобы была общая LDAP'овская база ?
>
> Что делать, если в обоих базах есть (root'овые записи с разными паролями):
> ou=users, dc=home, dc=ru
> uid=root, ou=users, dc=home, dc=ru
Системные аккаунты нельзя держать в LDAP. Как следствие, миграционные срипты
с PADL провокационный отстой.
То, что получилось у вас, это классический случай компрометации. Думаю что
ипользование AD от M$ приведет к такому же. Говоря по-просту, если
системный аккаунт в LDAP, то взлом LDAP приведет в взлому всех хостов где
авторизация не настроена так, что сначала происходит авторизяция по
локальным файлам и только при _отсутствии_ локального бюджета происходит
поиск в LDAP.
Для такой настройки надо пользоваться nss_ldap. Hастройка pam в этом случает
существенно вошкотнее и критичнее с т.з. возможных ошибок ослабления
полиси, особенно когда применяются групповые политики так как в MDK и ALT.
Категорически нельзя использовать настройку от SuSE с указанием параметров
use_ldap в pam_unix2.
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: Вопросы по LDAP |
Aleksey Barabanov |
09 Feb 2004 12:52:18 |
 Re: Вопросы по LDAP |
Slava Astashonok |
10 Feb 2004 03:19:40 |
|
|
