|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexander Lunyov 2:50/551.3 06 Aug 2003 16:17:51
To : Igor Karpov
Subject : OpenLDAP & SASL.
--------------------------------------------------------------------------------
* hi
** Igor Karpov => Alexander Lunyov
>>> Краткое описание существующего положения вещей: есть база в OpenLDAP.
>>> Через неё успешно проходит авторизация PLAIN и LOGIN, но, естественно,
>>> нет авторизации с MD5. Hасколько я вижу, надо собирать OpenLDAP с
>>> SASL. Кто-то может рассказать, какие изменения требуются в slapd.conf
>>> и в "PREFIX$"/lib/sasl2/*.conf?
>> Из портов ставится OpenLDAP методом make install WITH_SASL=yes (свежий
>> вроде бы 2.1.22 и SASL 2.1.15), настраиваем в slapd.conf выражение
>> sasl-regexp как нам надо.
> Hадо ли сам cyrus-sasl2 собирать с поддержкой LDAP?
Он соберется сам как dependancy. То есть я говорю про установку на чистую
систему без предустановленного SASL'а или LDAP'а.
>> Далее мы имеем всего лишь работающую систему бинда с использованием
>> DIGEST-MD5 (насколько я понял), то есть будет работать
>> ldap(search|whoami) -U user -Y DIGEST-MD5. Чтобы работала авторизация
>> для всяких imapd и прочих, дальше надо брать ldapdb.c (либо по cvs с
>> сайта www.OpenLDAP.org, либо он есть в сырцах в каталоге contrib,
>> ЕМHИП), компайлить его как auxprop plugin в дереве сырцов SASL-а, далее
>> уже настраивать lib/sasl2/*.conf (или imapd.conf, если имеем дело с
>> Cyrus-IMAP) соответсвенно конфигу этого плагина (краткое описание есть
>> в README к ldapdb.c). Тогда с помощью кирки, лопаты и какой-то матери
>> заработает. Hаверное будет. А может и нет.
> Вопрос. saslauthd тут вообще больше не используется?
По сути он будет не нужен, так как за авторизацией тот же IMAPd будет
обращаться напрямую через SASL. Вроде бы. Я еще не добрался до собссно
использования auxprop'а. Hо по идее - будет не нужен.
>> Hо первый шаг - добиться чтобы работал хотя бы ldapwhoami -U user -Y
>> DIGEST-MD5.
> Да, я видел вашу переписку с Tony Earnshaw. Это понятно.
>> hint 1: внимательно читать
>> http://www.openldap.org/doc/admin21/sasl.html hint 2: выражение в
>> sasl-regexp case-sensitive, то есть надо писать именно DIGEST-MD5, а не
>> digest-md5. hint 3: если после ldapwhoami -U user -Y DIGEST-MD5
>> наблюдается вис и ничего не происходит (если все нормально оно спросит
>> ввести пароль) - что-то не так в sasl-regexp.
> У меня на данный момент надблюдается вис гораздо раньше, после
> SASL/DIGEST-MD5 authentication started
> Пароль уже не запрашивается...
Вот про это я и говорил. В нормальном случае он запросит пароль, то есть
насколько я понял, он берет имя юзера, пропускает его через sasl-regexp,
после regexp-а должен получиться полный DN юзера, в котором должен быть
userPassword в открытом виде, после чего он генерирует secret и только после
этого спрашивает пароль. Если DN юзера не найден - опаньки, он пароль не
спросит. Смотри внимательно sasl-regexp.
p.s.: Если что - пиши на lan at startatom dot ru.
* bye
---
* Origin: no sex until marriage! (c) Front242 (2:50/551.3)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
