|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Slava Astashonok 2:5020/400 04 Mar 2005 20:51:00
To : Aleksey Barabanov
Subject : Re: LDAP auth
--------------------------------------------------------------------------------
Aleksey Barabanov wrote:
> Hапример. Hадо всяко держать системные аккаунты. Hадо учитывать возможность
> отказа LDAP. Кроме того есть такие ресурсы, которые вообще к бюджетной
Бесспорно.
> информации трудно относимы. Hапример, pptp и smtps. Для этих систем
> парольные пары могут не соответствовать локальным бюджетам вовсе.
Почему бы их не сделать одинаковыми и не объединить, а samb'овый пароль
синхронизировать с основным?
> 1.Поднимает samba - OK.
> 2.Поднимает smtps+saslauth - о, млин, получили, что работаю те же бюджеты.
> 3.Поднимает courier-imap - опять работают _ВСЕ_ те же бюджеты !
>
> С 1-ым ясно. А вот 2 и 3 так ли нам сразу надо ?
>
> Далее еще смешнее:
>
> 4.Поднимает ssh+pam-ldap - у, ёЁ, опять работают _ВСЕ_ бюджеты ;))))
>
> Вывод. Приходится ряд a&a выводить из LDAP.
Да не. Hемножко муторно, но оно того IMHO стОит: courier-imap, exim,
{nss,pam}-ldap все имеют собственные ldap-фильтры. Каждый эккаунт можно
снабдить набором флагов (конечно, не как отдельными атрибутами, а как
значениями одного multi-value атрибута): active, mailRelay, radiusActive,
jabberActive, squidWorktime, squidOvertime и т.п; перечислить в атрибуте host
(зачем-то же его ввели ;-)) список хостов на которых данный uidNumber
действителен и фильтровать их в nss_base_passwd / pam_filter. Вполне (опять же
IMHO) приемлимый способ централизованного управления сервисами.
С ssh конечно получается сложнее. Тут возможно придётся прибегнуть AllowUsers
из sshd_config.
--
Diplomacy - the art of letting someone have your way.
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
