[Sysadmins] LDAP+nss_ldap+nscd

[Денис Черносов]

24 июня 2008 г. 3:07 пользователь Vasyl Tereshko <tolmi на end.kiev.ua> написал:
> Ivan Fedorov пишет:
>>
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA1
>>
>>
>>>>
>>>> Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять
>>>> простые операции можно было анонимно, тогда нет нужды вообще
>>>> использовать
>>>> rootbinddn.
>>>>
>>>
>>> Ага, но тогда я должен давать для anonymous например доступ к такой
>>> чувствительной информации, как вхождение пользователя в те или иные
>>> группы,
>>> что совсем неправильно.
>>>
>>
>> Ну если вы так параноидальны, то подключайтесь ко LDAP через TLS с
>> проверкой клиентских сертификатов. Тогда чужие во LDAP не залезут
>> точно.
>>
>
> Чужих как раз я не боюсь, они просто не доберутся до сервера. Я боюсь
> инсайдеров - доморощенных хакеров, которые лезут во все дыры и хотят знать
> всё, что им не положено.
> А на группах сделан доступ к ресурсам, соответственно я хочу, чтобы только
> члены этой группы могли знать кто ещё, кроме него самого имеет доступ к
> ресурсу.
>
> PS А раздать 200-300 пар сертификатов и потом их поддерживать тоже веселая
> задача. Это уж в сторону PKI тогда нужно смотреть...

Уперся в такую же задачку. Не хочу использовать binddn админа ldap на
каждой машине, но и не пойму, как сделать так, чтобы posix
логин+пароль конкретного пользователя передавался в ldap-сервер в
качестве binddn во время поиска соответствий. Потому что разрешать
возможность чтения всех логинов паролей при анонимном подключении тоже
как-то не бодрит. И клиентские сертификаты тоже не хочется внедрять -
слишком заморочено.

Вопрос даже не в шифровании и не в том, что админская учетка будет
лежать на каждой клиентской машине (с которой можно снять винт или
загрузиться с live-cd и прочитать секретный файл), а в том, что все
вопросы ldap-у задаются от имени админа. Неаккуратненько как-то.
Красивее, когда каждому выдается только то, что права ldap-а ему
позволяют.

Кто-нибудь уже смог это настроить?