Главная страница
О проекте Навигация Контакт
Поиск


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Aleksey Barabanov                    2:5020/400     11 Feb 2004  15:53:17
 To : Serg Oskin
 Subject : Re: Вопросы по LDAP
 -------------------------------------------------------------------------------- 
 
 Serg Oskin wrote:
 
 > "AB" == Aleksey Barabanov wrote:
 > 
 >  >> >> Вот, смотри, кусок из рабочего slapd.conf:
 >  >> >> access to attr=userPassword
 >  >> >> # тут всякие самбы и прочие _несистемные_ приблуды
 >  >> >> by self write
 >  >> >> by anonymous auth
 >  >> >> by * none
 >  AB> Да, да. Это именно то. Так вот через nss_ldap это не работает. Я
 >  >> правильно AB> понял ? А через pam_ldap должно, если опять же я
 >  >> правильно понял. AB> Hу собственно и сам проверю сегодня-завтра...
 >  >> 
 >  >> Помнишь про баг в nss_ldap? - Он был обнаружен именно на этом сервере,
 >  >> значит через nss_ldap как минимум crond работает... :)
 >  AB> Для того чтобы быть уверенным что auth идет через LDAP надо того
 >  AB> пользователя через которого работает крон выкинуть из системных
 >  файлов. А AB> то если "files ldap" , то не факт.
 > 
 > Hапример login сначала делает аутентификацию, а уж потом "становится"
 > нужным юзером. Т.о. раз ему удается сделать auth, значит в этот момент для
 > LDAP он anonymous (см. кусок конфига). :)
 
 Я с того и начал, что через nss без указания binddn происходит коннект через
 анонима dn="" и при чтении хеша вся процедура аутентификации обламывается.
 Я не делаю серверов где пользователям позволено играться с кроном. Поэтому
 мне затруднительно проверить что там с ним происходит. Поэтому для
 утверждения, что крон проходит auth как аноним надо просто посмотреть лог.
 В своем логе я все уже нашел и давно. Отсюда и скепсис на счет жизненности
 аклей с анонимус аус. Все объяснимо становится если такая аутентификация
 идет только через pam и проч, но не через nss. Так как у меня именно nss.
 Если принять, как здесь утверждается, что те кто сразу забил на nss и все
 сделал через памы и саслы прекрасно живут с этими аклями, то с вашим кроном
 какая-то непонятка.
 
 Хотя все вполне может быть если настраивать ldap как дополнительный
 механизм. И в случае его недоступности ничего не должно ломаться. Тогда при
 невозможности аутентифицироваться через ldap клиент пойдет по
 ортодоксальному пути.
 
 Т.е. из того что крон работает не значит что он сделал auth через ldap. Если
 мы теперь забили на крон и говорим о логине, то именно это _проверено_ не
 работает через nss при анонимном клиенте.
 
 -- 
 Bye.
 Aleksey Barabanov <alekseybb at mail.ru>
 
 Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
 --- ifmail v.2.15dev5.3
  * Origin: home (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: Вопросы по LDAP   Aleksey Barabanov   11 Feb 2004 15:53:17 
Архивное /ru.linux/7824fa468eef.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional