|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Slava Astashonok 2:5020/400 04 Mar 2005 20:51:00 To : Aleksey Barabanov Subject : Re: LDAP auth -------------------------------------------------------------------------------- Aleksey Barabanov wrote: > Hапример. Hадо всяко держать системные аккаунты. Hадо учитывать возможность > отказа LDAP. Кроме того есть такие ресурсы, которые вообще к бюджетной Бесспорно. > информации трудно относимы. Hапример, pptp и smtps. Для этих систем > парольные пары могут не соответствовать локальным бюджетам вовсе. Почему бы их не сделать одинаковыми и не объединить, а samb'овый пароль синхронизировать с основным? > 1.Поднимает samba - OK. > 2.Поднимает smtps+saslauth - о, млин, получили, что работаю те же бюджеты. > 3.Поднимает courier-imap - опять работают _ВСЕ_ те же бюджеты ! > > С 1-ым ясно. А вот 2 и 3 так ли нам сразу надо ? > > Далее еще смешнее: > > 4.Поднимает ssh+pam-ldap - у, ёЁ, опять работают _ВСЕ_ бюджеты ;)))) > > Вывод. Приходится ряд a&a выводить из LDAP. Да не. Hемножко муторно, но оно того IMHO стОит: courier-imap, exim, {nss,pam}-ldap все имеют собственные ldap-фильтры. Каждый эккаунт можно снабдить набором флагов (конечно, не как отдельными атрибутами, а как значениями одного multi-value атрибута): active, mailRelay, radiusActive, jabberActive, squidWorktime, squidOvertime и т.п; перечислить в атрибуте host (зачем-то же его ввели ;-)) список хостов на которых данный uidNumber действителен и фильтровать их в nss_base_passwd / pam_filter. Вполне (опять же IMHO) приемлимый способ централизованного управления сервисами. С ssh конечно получается сложнее. Тут возможно придётся прибегнуть AllowUsers из sshd_config. -- Diplomacy - the art of letting someone have your way. --- ifmail v.2.15dev5.3 * Origin: Demos online service (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.linux/9179aa213788.html, оценка из 5, голосов 10
|