|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Sergei Romanov 2:5020/400 29 Apr 2006 11:22:15
To : Andrey Voitenkov
Subject : Re: ldap+cyrus-sasl+ldapdb
--------------------------------------------------------------------------------
Andrey Voitenkov пишет:
AV> On 2006-04-28, Sergei Romanov wrote:
AV> [...]
AV>> т.е. он хочет создать одноразовые пароли, но ему нет досту /etc/opiekeys
AV>> обьясните пожалуйста как тут должен работать механизм аунтефикации??(как
AV>> использует одноразовые пароли)
AV> никак не использует. неплохо бы его выкинуть на стадии компиляции, чтоб
AV> не путался под ногами и логи не засорял.
времено дал ему прова rw-rw-rw что б не гавкал
AV>> напмню настройки imapd
AV>> sasl_pwcheck_method: auxprop
AV>> sasl_auxprop_plugin: ldapdb
AV>> sasl_ldapdb_uri: ldapi://ччч.чч.ru
AV>> sasl_ldapdb_mech: EXTERNAL
AV>>
AV>>
AV>> password-hash {CLEARTEXT}
AV>> sasl-authz-policy to
AV>> sasl-regexp uidNumber=(.*)\\+gidNumber=(.*),cn=peercred,cn=external,
cn=auth
AV>> ldap:///dc=чччч,dc=чч,dc=ru??sub?(&(uidNumber=$1)(gidNumber=$2))
AV>> sasl-regexp uid=(.*@.*),cn=external,cn=auth
AV>> ldap:///dc=чччч,dc=чч,dc=ru??sub?(&(mailBox=$1)(status=enabled))
AV>> sasl-regexp uid=(.*),cn=external,cn=auth
AV>> ldap:///dc=ччч,dc=чч,dc=ru??sub?(|(cn=$1)(&(mailBox=$1@ччч.ru)
AV>> (status=enabled)))
AV> насчет этого -- я не знаю что тут должно быть. не пользую я ldapdb.
AV> вообще, если всё корректно, то saslpasswd2 -c username должен создавать
AV> юзера, а sasldblistusers2 должен потом его показать. если это работает,
AV> можно переходить к cyrus-imap и тестировать с ним.
это при работе с sasldb так или при двойной проверки сначала в sasldb, а потом
в ldap-e (я так не хочу усложнять)
mitrohin a.s.
"у меня пароли {CRYPT}, что делает механизмы auxprop бесполезными. "
можете вот тут сказать как у вас построено!? у меня вот этот кусок не работает
root[/usr/local/etc]#>cat openldap/slapd.conf|grep password-hash
password-hash {CLEARTEXT}
т.е пароли должны лежать в открытом виде:
"Для применения способа идентификации CRAM-MD5 необходимо, чтобы у сервера был
доступ к паролю в текстовом виде (т.е. должна быть установлена опция защиты
пароля none, что означает хранение пароля в незашифрованном виде и возможность
его получения в текстовом формате с помощью операции поиска), и чтобы значение
QRETSVRSEC (сохранение данных защиты сервера) было равным 1 (Сохранять данные
). Клиент отправляет серверу значение DN. Сервер извлекает значение атрибута
userPassword для записи и генерирует случайную строку. Затем эта случайная
строка передается клиенту. После этого и клиент и сервер хэшируют эту
случайную строку, используя пароль в качестве ключа, а затем клиент передает
полученный результат серверу. Если хэшированные строки совпадают, то запрос на
подключение считается успешным, причем пароль серверу не передается."
т.е root[/usr/local/etc]#>ldapsearch -x -D "cn=admin,dc=ччч,dc=чч,dc=ru" -W
должен нам показать пароль в открытом виде, а он
# admin@ччч.чч.ru, ччч.чч.ru
dn: mailBox=admin@ччч.чч.ru,dc=ччч,dc=чч,dc=ru
mailBox: admin@ччч.чч.ru
status: enabled
objectClass: mailAccount
userPassword:: MTIzNDU2
а он этого шифрует!!!!(должно быть 123456)
я что-то не понимаю?!
- ---
c уважением s.romanov
--
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: Talk.ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
