[Comm] LDAP и PAM: вопрос для повышения образованности

[Денис Черносов]

Настраиваю Ldap по этой инструкции:
http://www.altlinux.org/OpenLDAP

Всё понятно, кроме одного момента: даже с TLS не хочется подключаться
к LDAP через какого-то прокси-юзера или разрешать всем анонимам читать
пароли юзеров. В первом случае дыра в безопасности, связанная с
хранением настроек прокси-юзера на каждой рабочей станции (которую
могут банально унести и прочитать файл с другой системы). Во втором -
дыра с доступом к OpenLDAP.

Есть ли какой-то способ заставить pam формировать binddn динамически,
в зависимости от проверяемого клиента?

Сейчас я вижу в логах сервера:

Jan  6 12:56:13 gate slapd[30060]: conn=478 fd=39 ACCEPT from
IP=<wks_ip>:52928 (IP=0.0.0.0:636)
Jan  6 12:56:13 gate slapd[30060]: conn=478 fd=39 TLS established
tls_ssf=256 ssf=256
->   Jan  6 12:56:13 gate slapd[30060]: conn=478 op=0 BIND dn="" method=128
Jan  6 12:56:13 gate slapd[30060]: conn=478 op=0 RESULT tag=97 err=0 text=
Jan  6 12:56:13 gate slapd[30060]: conn=478 op=1 SRCH
base="ou=People,<base_dn>" scope=1 deref=0
filter="(&(objectClass=posixAccount)(uid=admin))"
Jan  6 12:56:13 gate slapd[30060]: conn=478 op=1 SRCH attr=uid
userPassword uidNumber gidNumber cn homeDirectory loginShell gecos
description objectClass
Jan  6 12:56:13 gate slapd[30060]: conn=478 op=1 SEARCH RESULT tag=101
err=0 nentries=0 text=
Jan  6 12:56:15 gate slapd[30060]: conn=478 fd=39 closed (connection lost)


Можно сделать так:

->   Jan  6 12:56:13 gate slapd[30060]: conn=478 op=0 BIND
dn="cn=proxy-root,ou=People,<base_dn>" method=128


А хотелось бы видеть что-то типа:


>Jan  6 12:56:13 gate slapd[30060]: conn=478 op=0 BIND dn="cn=admin,ou=People,<base_dn>" method=128
...

Со всеми вытекающими.

Возможно ли это в принципе? Или может я зря этого хочу?