[Sysadmins] LDAP+nss_ldap+nscd

[Денис Черносов]

26 декабря 2008 г. 15:47 пользователь Денис Черносов
<denis0.ru на gmail.com> написал:
> 24 июня 2008 г. 3:07 пользователь Vasyl Tereshko <tolmi на end.kiev.ua> написал:
>> Ivan Fedorov пишет:
>>>
>>> -----BEGIN PGP SIGNED MESSAGE-----
>>> Hash: SHA1
>>>
>>>
>>>>>
>>>>> Можно настроить acl-и на ldap-сервере таким образом, чтобы выполненять
>>>>> простые операции можно было анонимно, тогда нет нужды вообще
>>>>> использовать
>>>>> rootbinddn.
>>>>>
>>>>
>>>> Ага, но тогда я должен давать для anonymous например доступ к такой
>>>> чувствительной информации, как вхождение пользователя в те или иные
>>>> группы,
>>>> что совсем неправильно.
>>>>
>>>
>>> Ну если вы так параноидальны, то подключайтесь ко LDAP через TLS с
>>> проверкой клиентских сертификатов. Тогда чужие во LDAP не залезут
>>> точно.
>>>
>>
>> Чужих как раз я не боюсь, они просто не доберутся до сервера. Я боюсь
>> инсайдеров - доморощенных хакеров, которые лезут во все дыры и хотят знать
>> всё, что им не положено.
>> А на группах сделан доступ к ресурсам, соответственно я хочу, чтобы только
>> члены этой группы могли знать кто ещё, кроме него самого имеет доступ к
>> ресурсу.
>>
>> PS А раздать 200-300 пар сертификатов и потом их поддерживать тоже веселая
>> задача. Это уж в сторону PKI тогда нужно смотреть...
>
> Уперся в такую же задачку. Не хочу использовать binddn админа ldap на
> каждой машине, но и не пойму, как сделать так, чтобы posix
> логин+пароль конкретного пользователя передавался в ldap-сервер в
> качестве binddn во время поиска соответствий. Потому что разрешать
> возможность чтения всех логинов паролей при анонимном подключении тоже
> как-то не бодрит. И клиентские сертификаты тоже не хочется внедрять -
> слишком заморочено.
>
> Вопрос даже не в шифровании и не в том, что админская учетка будет
> лежать на каждой клиентской машине (с которой можно снять винт или
> загрузиться с live-cd и прочитать секретный файл), а в том, что все
> вопросы ldap-у задаются от имени админа. Неаккуратненько как-то.
> Красивее, когда каждому выдается только то, что права ldap-а ему
> позволяют.
>
> Кто-нибудь уже смог это настроить?

Хм... чем больше ищу, тем больше понимаю, что такое поведение
подразумевается. Типа, сначала попытка анонимного чтения, далее, если
в acl написано требование аутентификации анонимов для чтения соотв.
атрибутов, то проводится аутентификация... Только хотелось бы узнать
полный список атрибутов, которые необходимо раскомментировать для
включения такого поведения...


>